departament d’educació llicències d’estudi. curs 2006 - 07 ... · relacionats amb la...

Departament d’Educació Llicències d’estudi. Curs 2006 - 07

MANUAL

GESTIÓ DE LES DADES DE CARÀCTER PERSONAL ALS SERVEIS I CENTRES EDUCATIUS

Nom i cognoms de l'autor Lluís ÁLVAREZ DOMÍNGUEZ

Supervisió Dr. Manel SÁNCHEZ CANO Universitat de Vic

Gestió de les dades de caràcter personal als serveis i centres educatius. Manual

Lluís Álvarez

2

ÍNDEX 2 1.- INTRODUCCIÓ 4 2.- TESTS 7 3.- DADES GLOBALS 13 4.- ENTRADA 18 5.- ELABORACIÓ 21 6.- DIPÒSIT 23 7.- SORTIDA 32 8.- ACTUACIONS PROFESSIONALS ORDINÀRIES 34 8. 1- ..Entrevistes amb pares 35 8. 2- ..Entrevistes amb professional del D. d’Educació 38 8. 3- ..Entrevistes amb professional de fora de D. d’Educació 40 8. 4- ..Entrevistes amb professionals de sanitat 44 8. 5- ..Observacions d’alumnes (individuals, col·lectives) 46

8. 6- ..Material recollit en observacions, reunions, trucades telefòniques, etc… 47

8. 7- ..Informes, dictàmens, notes, … 49 8. 8- ..Expedients i Fitxers 51 8. 9- ..Ordinadors, pen-drivers, cd, diskettes, etc… 56 8. 10- ..Telecomunicacions: Fax, email, telèfon, correu, etc… 61 9.- GLOSSARI 63 10.- NORMATIVA 66 11.- ADRECES D’INTERÈS 69 12.- Annex 1. Document de Seguretat 70 13.- Annex 2. Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal A2

14.- Annex 3. Reial Decret 994/1999, d’11 de juny, pel qual s’aprova el Reglament de Mesures de Seguretat dels Fitxers Automatitzats que Continguin Dades de Caràcter Personal

A3


Lluís Álvarez

3

Aquest treball en foma de manual complementa els materials elaborats en la recerca que, sobre la protecció de dades de caràcter personal als serveis i centres educatius de Catalunya, he fet amb la llicència del curs 2006/07. Està pensat per a les persones que, per les raons que sigui, no tenen accés a la web. Manté el mateix format i continguts que el que podeu veure a la pàgina: http://phobos.xtec.cat/lalvarez . Per ajudar a l’usiari al final s’han incorporat les lleis bàsiques sobre la protecció de dades de caràcter personal. La realització d'aquest treball ha estat possible gràcies a una llicència retribuïda concedida pel Departament d'Educació i Universitats de la Generalitat de Catalunya (DOGC núm.: 4699 de 17.8.2006)


Lluís Álvarez

4

1.- INTRODUCCIÓ Aquest manual és un instrument que ens facilita la feina d’adaptar-nos a la normativa vigent en matèria de protecció de dades de caràcter personal. En tot el document, quan parlo d’informació, dades, etc.., m’estic referint sempre a informació amb dades de caràcter personal. Aquest manual no és més que una llista de preguntes a les que es dóna resposta. Aquestes preguntes són els dubtes més freqüents que sobre el tema ens fem quan treballem amb aquestes dades i la seva resposta ens ajudarà a ajustar la majoria dels processos que cal tenir actualitzats per actuar de forma correcta en relació a la llei. Paral·lelament a les preguntes bàsiques també es dóna resposta a moltes qüestions que, sense arribar a ser crítiques, són suficientment importants en aspectes professionals relacionats amb la protecció de dades. La incorporació d'un test inicial ens ajuda a fer-nos una idea global de les mesures bàsiques que ens cal implementar. Totes d'aquestes preguntes són el resultat d'un estudi previ que es va fer dins del marc de la llicència. La mostra de centres i serveis col·laboradors està al final del treball.. Per ajudar a una millor comprensió i anàlisi dels processos implicats considero que la informació fa un cicle dins dels centres o serveis educatius. Aquest és el cicle de vida de la informació que va des del moment que ens arriba, entrada, fins que la lliurem, caduca o és cancel·lada, sortida. Per aquesta raó parlo de processos d’entrada, d’elaboració, de dipòsit i de sortida.


Lluís Álvarez

5

Processos d’entrada: Són els que tenen a veure amb la recollida de la informació, per la via que sigui: en una entrevista, a través d’un formulari de preinscripció o matrícula, en una observació, un fax que ens comuniquen unes dades, via email, etc.. Processos d’elaboració: Són aquells que fem servir per tractar aquesta informació, és a dir, al fer un informe, quan l’ordenem, al baremar-la, etc… Processos de dipòsit: Són els que tenen a veure amb tot el que comporta el fet de guardar-la, enregistrar-la, dipositar-la: forma de guardar-la o mesures de seguretat, com obrir expedients, la caducitat de les dades, etc… Processos de sortida: Són els que fan referència al fet de cedir les dades, lliurar-les: quan ens coordinem i intercanviem informacions relatives a un subjecte en particular, en les entrevistes amb pares, quan lliurem informes, quan comuniquem dades al Departament, etc…

La forma correcta d’administrar aquest instrument és: 1. Contestar el test inicial, apartat Test 2. seguir les planes amb l’ordre que tenen: -Dades Globals -Entrada -Elaboració -Dipòsit -Sortida Si durant l'administració o lectura dels diversos apartats teniu dubtes sobre lleis, significat de paraules, etc.., podeu consultar les seccions de Normativa i/o Glossari.


Lluís Álvarez

6

Aquest instrument el que fa és una anàlisi dels elements que intervenen en la gestió de les dades de caràcter personal als serveis i centres educatius. Però no sempre ens interessa tenir una visió parcial. L’apartat Actuacions recull les preguntes per actuacions concretes: coses a tenir en compte en una entrevista amb pares, o amb professionals de sanitat, o referents a les telecomunicacions… He incorporat al document els instruments necessaris per implementar de forma correcta tots els requeriments que la normativa demana i instruments senzills per a la feina ordinària (veure web, http://phobos.xtec.cat/lalvarez . Com he comentat fins ara, consta de les següents parts: .Test .Dades globals. Qüestions importants que no fan referència en particular a cap d’aquests processos, com és la propietat de les dades, els tipus de dades, les mesures de seguretat, etc.. .Processos d’entrada .Processos d’elaboració .Processos de dipòsit .Processos de sortida .Actuacions. La normativa observada des de les actuacions ordinàries: a les entrevistes, observacions, en relació als expedients, etc… .Glossari. Les paraules més utilitzades, recollides de la mateixa normativa i de les web de les Agències de protecció de dades oficials. .Normativa. Lleis, decrets, etc… Catalana, Estatal i Europea. Altres referents legals .Adreces d’interès. Les pàgines web més significatives en aquest tema.


Lluís Álvarez

7

2.- TESTS. Test Normal


Lluís Álvarez

8


Lluís Álvarez

9


Lluís Álvarez

10

Mini test


Lluís Álvarez

11

Test pels CRP


Lluís Álvarez

12


Lluís Álvarez

13

3.- DADES GLOBALS .Quan s’ha d’aplicar la normativa de protecció de dades de caràcter personal? .Si han de ser d’algú, un cop recollides les dades observades, de qui consideres que són? .Qui és el responsable del fitxer? .Fitxers inscrits al Registre General de Protecció de Dades .Discriminació del tipus de dades que gestioneu .Mesures de seguretat .Quan s’ha d’aplicar la normativa de protecció de dades de caràcter personal? La LOPD, Llei Orgànica de Protecció de Dades, estipula uns terminis per adequar-se a la normativa. Pels fitxers automatitzats aquest és de tres anys a partir de la seva entrada en vigor, i pels manuals de 12 anys a partir del 24 d’octubre de 1995, és a dir que aquest acaba el 25 d’octubre de 2007 LOPD. DISPOSICIÓ ADDICIONAL PRIMERA Fitxers preexistents Els fitxers i els tractaments automatitzats inscrits o no en el Registre General de Protecció de Dades s’han d’adequar a aquesta Llei orgànica dins el termini de tres anys, a comptar des de la seva entrada en vigor. En aquest termini, els fitxers de titularitat privada han de ser comunicats a l’Agència de Protecció de Dades i les administracions públiques, responsables de fitxers de titularitat pública, han d’aprovar la disposició pertinent de regulació del fitxer o adaptar l’existent. En el cas de fitxers i tractaments no automatitzats, la seva adequació a aquesta Llei orgànica i l’obligació que preveu el paràgraf anterior s’han de complir en el termini de dotze anys a comptar des del 24 d’octubre de 1995, sens perjudici de l’exercici dels drets d’accés, rectificació i cancel·lació per part dels afectats. .Si han de ser d’algú, un cop recollides les dades observades, de qui consideres que són? De l’interessat, en aquest cas l’alumn@ o la seva família, però no és tan important aquesta qüestió com, qui té accés a les dades? o més, qui té dret d’accés a les dades? Cal diferenciar entre propietat, custòdia, dipòsit i ús o accés. Les dades són dels interessats, els seus propietaris, però quan, per la raó que sigui, les tenim nosaltres als fitxers, nosaltres som els que tenim la responsabilitat de custodiar-les fent un ús correcte i responsable (basat en la normativa). L’accés i l’ús de les dades, que també els poden tenir altres persones, està condicionat per la funció que tenim en relació amb elles. Aquestes dades formen part de la seva intimitat i els drets dels interessats estan recollits en diverses normatives: LOPD. Article 1 Objecte


Lluís Álvarez

14

Aquesta Llei orgànica té com a objecte garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment del seu honor i la seva intimitat personal i familiar. Declaración universal de los derechos humanos: ONU 1948 (ratificado en 1950 por España) Artículo 12 Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques. Constitución Española de 1978 Artículo 18: 1. Garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. Inviolabilidad del domicilio 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Convenio 108 del Consejo de Europa de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (28 enero 1981): Art. 1. Objeto y fin El fin del presente Convenio es garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»). .Qui és el responsable del fitxer? Normalment és el director/a del servei o centre. LOPD. Article 3 Definicions Als efectes d’aquesta Llei orgànica, s’entén per: d) Responsable del fitxer o el tractament: persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que decideixi sobre la finalitat, el contingut i l’ús del tractament. .Fitxers inscrits al Registre General de Protecció de Dades Els fitxers amb dades de caràcter personal, per llei (LOPD Article 39), han d’ésser inscrits en el Registre General de Protecció de Dades. LOPD, Article 39 El Registre General de Protecció de Dades 1. El Registre general de protecció de dades és un òrgan integrat a l’Agència de Protecció de Dades. 2. Són objecte d’inscripció en el Registre General de Protecció de Dades: a) Els fitxers de què siguin titulars les administracions públiques. b) Els fitxers de titularitat privada. c) Les autoritzacions a què es refereix aquesta Llei.


Lluís Álvarez

15

d) Els codis tipus a què es refereix l’article 32 d’aquesta Llei. e) Les dades relatives als fitxers que siguin necessàries per a l’exercici dels drets d’informació, accés, rectificació, cancel·lació i oposició. 3. Per via reglamentària s’ha de regular el procediment d’inscripció dels fitxers, tant de titularitat pública com de titularitat privada, en el Registre General de Protecció de Dades, el contingut de la inscripció, la seva modificació, la cancel·lació, les reclamacions i els recursos contra les resolucions corresponents i altres aspectes pertinents. El Departament d’Educació en el seu moment va inscriure els següents fitxers de centres i serveis educatius amb aquests nivells de seguretat:

Fitxers declarats. Ordre ENS/175/2003, de 10 de març (DOGC)

Nivell de

seguretat .Preinscripció d’alumnes Alt

.Alumnes matriculats Alt

.Centres docents de titularitat del Departament d’Ensenyament. Personal Bàsic

.Centres docents de titularitat del Departament d’Ensenyament Alumnat Alt

Centres

.Títols d’ensenyaments no universitaris corresponents a ensenyaments regulars per la Llei general d’educació Bàsic

.Dades relatives dels professionals dels Centres de Recursos Educatius per a Deficients Auditius (CREDA) Bàsic

CREDA .Dades relatives als alumnes atesos pels Centres de Recursos Educatius per a Deficients Auditius (CREDA) Alt

.Dades relatives al GESTEAP Bàsic

EAP .Alumnes atesos pels equips d’assessorament i orientació psicopedagògic (EAP) Alt

Els CRP i els ELIC no tenen cap fitxer inscrit. .Discriminació del tipus de dades que gestioneu Les mesures de seguretat exigides per la LOPD/Article 20/2/h, classifica les dades de caràcter personal en tres nivells. Els criteris per determinar cada nivell estan al Reial Decret 994/1999, Articles 3 i 4. Segons la normativa, totes les dades de caràcter personal han de rebre unes mesures bàsiques de seguretat, però les de nivell mig i alt tenen tractament diferenciat. Els criteris són els següents:


Lluís Álvarez

16

Nivell Alt Dades especialment protegides

Ideologia, Afiliació sindical, Religió, Creences, Origen racial o ètnic, Salut, Vida sexual, Dades recollides per a finalitats policials

Nivell Mig

Sobre Infraccions penals, Infraccions administratives Dades de nivell bàsic que permetin obtenir un perfil de la persona D’Hisenda Pública De Serveis financers De solvència patrimonial i crèdit

Nivell Bàsic

Identificatives, característiques personals, circumstàncies socials, acadèmiques i professionals, feina i carrera administrativa, informació comercial, econòmiques financeres, transaccions Aquestes dades no han de permetre obtenir un perfil de la persona

LOPD, Fitxers de titularitat pública Article 20 Creació, modificació o supressió 1. La creació, la modificació o la supressió dels fitxers de les administracions públiques només es poden fer per mitjà d’una disposició general publicada en el Butlletí Oficial de l’Estat o en el diari oficial corresponent. 2. Les disposicions de creació o de modificació de fitxers han d’indicar: …. h) Les mesures de seguretat amb indicació del nivell bàsic, mitjà o alt exigible. Reial Decret 994/1999 Article 3 Nivells de seguretat 1. Les mesures de seguretat exigibles es classifiquen en tres nivells: bàsic, mitjà i alt. 2. Aquests nivells s’estableixen d’acord amb la naturalesa de la informació tractada, en relació amb la major o menor necessitat de garantir la confidencialitat i la integritat de la informació. Article 4 Aplicació dels nivells de seguretat 1. Tots els fitxers que continguin dades de caràcter personal han d’adoptar les mesures de seguretat qualificades de nivell bàsic. 2. Els fitxers que continguin dades relatives a la comissió d’infraccions administratives o penals, hisenda pública, serveis financers i els fitxers amb un funcionament que es regeixi per l’article 28 de la Llei orgànica 5/1992, han de reunir, a més de les mesures de nivell bàsic, les qualificades de nivell mitjà. 3. Els fitxers que continguin dades d’ideologia, religió, creences, origen racial, salut o vida sexual, com també els que continguin dades sol·licitades per a finalitats policials sense el consentiment de les persones afectades han de tenir, a més de les mesures de nivell bàsic i mitjà, les qualificades de nivell alt. 4. Si els fitxers contenen un conjunt de dades de caràcter personal suficients que permetin d’obtenir una avaluació de la personalitat de l’individu han de garantir les mesures de nivell mitjà que estableixen els articles 17, 18, 19 i 20. 5. Cada un dels nivells descrits anteriorment tenen la condició de mínims exigibles, sens perjudici de les disposicions legals o reglamentàries específiques vigents.


Lluís Álvarez

17

En cas de tenir fitxers no inscrits amb dades de caràcter personal us podeu contactar amb la Secretaria General del Departament d’Educació. .Mesures de seguretat Els centres i els serveis educatius tenen fitxers amb dades de caràcter personal. Per aquesta raó cal que adoptin les mesures de seguretat corresponents. Aquestes estan recollides en la LOPD i en el Reial Decret 994/1999 i comporten, en cas de tenir un fitxer automatitzat, l’elaboració i el compliment d’un document de seguretat tal com diu l’article 8 del 994/1999. LOPD, Article 9 Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. Reial Decret 994/1999 Article 4 Aplicació dels nivells de seguretat 1. Tots els fitxers que continguin dades de caràcter personal han d’adoptar les mesures de seguretat qualificades de nivell bàsic. Capítol II. Mesures de seguretat de nivell bàsic Article 8. Document de seguretat 1. El responsable del fitxer ha d’elaborar i implantar la normativa de seguretat mitjançant un document de compliment obligatori per al personal amb accés a les dades automatitzades de caràcter personal i als sistemes d’informació. Un model d’aquest document el teniu aquí: Model de Document de Seguretat.


Lluís Álvarez

18

4.- ENTRADA .S’informa als interessats que les dades de caràcter personal recollides passen a un arxiu? S’informa dels drets d’accés, modificació, cancel·lació...? .Teniu dificultats per coordinar-vos amb el CSMIJ? .Com és el full de traspàs individual primària secundària? .Posterior a la recollida de dades: correu, fax, trucada telefònica, email, reunions.. Què feu amb aquestes dades? .S’informa als interessats que les dades de caràcter personal recollides passen a un arxiu? S’informa dels drets d’accés, modificació, cancel·lació….? Cal informar sempre als pares, observeu el que diu l’article 5 de la LOPD. Aquesta informació es pot donar de forma oral. En cas de recollir les dades amb un formulari en el que els pares han de signar es poden incloure unes línies que expliquin la normativa. Veure model. LOPD, Article 5 Dret d’informació en la recollida de dades 1. Els interessats als quals se sol·licitin dades personals han de ser prèviament informats de manera expressa, precisa i inequívoca: a) De l’existència d’un fitxer o un tractament de dades de caràcter personal, de la finalitat de la recollida de les dades i dels destinataris de la informació. b) Del caràcter obligatori o facultatiu de la resposta a les preguntes que els siguin plantejades. c) De les conseqüències de l’obtenció de les dades o de la negativa a subministrar-les. d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició. e) De la identitat i la direcció del responsable del tractament o, si s’escau, del seu representant. Per desenvolupar les intervencions ordinàries, com seria fer una observació individual d’un alumne, no cal demanar el consentiment als pares/tutors, però és important i ajuda molt tenir-los informats. Veure més sobre consentiment. .Teniu dificultats per coordinar-vos amb el CSMIJ? Des de fa uns anys, els CSMIJ i altres institucions mèdico – sanitàries, tracten el tema de les dades de caràcter personal seguint uns protocols d’actuació. Aquests observen la normativa i valorant el tipus de dades que gestionen en les condicions que indica aquesta normativa. En la relació amb els professionals de sanitat ens trobem que aquesta és asimètrica ja que nosaltres normalment no tenim implementats cap tipus de protocol d’actuació respecte d’aquestes dades i ells sí, i esperem que actuïn de la mateixa manera que fem nosaltres: nosaltres lliurem un informe aportant dades i esperant la seva resposta i ells apliquen els seus protocols que filtren i comporten poca informació escrita. La primera cosa que hem de fer és elaborar els nostres protocols d’actuació, que els recollirem en un document de seguretat, i aplicar-ho. A partir d’aquí es pot pensar en implementar concerts entre les institucions.


Lluís Álvarez

19

Considerant que els CSMIJ i els centres i serveis educatius formen part d’administracions públiques, cal aplicar el que disposa l’article 21 de la LOPD LOPD, Article 21 Comunicació de dades entre administracions públiques Les dades de caràcter personal recollides o elaborades per les administracions públiques per a l’exercici de les seves atribucions no han de ser comunicades a altres administracions públiques per a l’exercici de competències diferents o de competències que tractin matèries diferents, excepte quan la comunicació hagi estat prevista per les disposicions de creació del fitxer o per una disposició de rang superior que en reguli l’ús, o quan la comunicació tingui com a objecte el tractament posterior de les dades amb finalitats històriques, estadístiques o científiques.* * L’incís en cursiva ha estat declarat inconstitucional per la STC 292/2000, de 30 de novembre. Donat que cada administració té competències diferents i tracten matèries també diferents, la comunicació de dades entre elles, sense cap protocol previ, ha d’ésser dificultosa necessàriament. .Com és el full de traspàs individual primària secundària? Aquests fulls passen a l’expedient personal de l’alumne en la nova institució, és a dir, al fitxer d’alumne. No sempre totes les dades aportades en aquest traspàs són necessàries, algunes són excessives en relació a les finalitats que té aquest instrument. També en algun full de traspàs s’aporten dades mèdiques rellevants, sense el consentiment exprés de la família. Caldria reflexionar sobre les dades que s’aporten, i els procediments que fem servir, sempre en relació a la funció de l’instrument. LOPD, Principis de la protecció de dades. Article 4. Qualitat de les dades 1. Les dades de caràcter personal només es poden recollir per ser tractades, així com sotmetre-les a aquest tractament, quan siguin adequades, pertinents i no excessives en relació amb l’àmbit i les finalitats determinades, explícites i legítimes per a les quals s’han obtingut. .Posterior a la recollida de dades: correu, fax, trucada telefònica, email, reunions.. Què feu amb aquestes dades? Aquesta informació es pot arxivar, destruir, etc… En cas que la decisió sigui la destrucció cal fer servir procediments adequats com és la destructora de documents. Si s’arxiva cal tenir sempre present considerar si les dades són necessàries i/o pertinents, veure normativa a sota. Aquestes actuacions, arxivar, destruir, etc.., no poden ajornar-se indefinidament, fins el final de curs o trimestre. No convé deixar les bústies electròniques plenes d’informació personal, les hem de buidar el més aviat possible. Igual amb els contestadors automàtics, etc.., aquesta informació també ha de ser objecte d’un procediment adequat: s'ha d’arxivar o destruir si conté dades de caràcter personal. No convé tampoc mantenir-la per molt temps a les agendes o dietaris. LOPD, Principis de la protecció de dades. Article 4. Qualitat de les dades


Lluís Álvarez

20

5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades.


Lluís Álvarez

21

5.- ELABORACIÓ .Procés d’elaboració de la informació. A on s’elabora la informació? .Posterior al procés d’elaboració de la informació: esborranys i còpies de paper i electròniques. Què feu d’aquest material? .Posterior al procés d’elaboració de la informació. Que es fa d’aquest material recollit a les coordinacions amb el CSMIJ, CDIAG o a les CAD? .Procés d’elaboració de la informació. A on s’elabora la informació? Ubicació. En cas de tractar la informació recollida a l’expedient, amb dades de caràcter personal procedents d’entrevistes, observacions, etc.., s’han d’elaborar al centre educatiu o als locals del servei. Veure l’article 6 del Reial Decret 994/199. Aquest article es refereix als fitxers automatitzats, electrònics, però donat que no hi ha reglament de mesures de seguretat pels fitxers manuals i que és necessari implementar alguna mesura, potser es pot aplicar la mateixa pels dos tipus de fitxers, ja que aquestes dades són de nivell alt. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 6 Règim de treball fora dels locals de la ubicació del fitxer L’execució de tractament de dades de caràcter personal fora dels locals de la ubicació del fitxer ha de ser autoritzada expressament pel responsable del fitxer i, en tot cas, s’ha de garantir el nivell de seguretat corresponent al tipus de fitxer tractat. El tractament de dades purament acadèmiques, com són les proves instrumentals d’àrees curriculars, llengua, matemàtiques, etc…, estan fora d’aquestes consideracions. .Posterior al procés d’elaboració de la informació: esborranys i còpies de paper i electròniques. Què fem d’aquest material? Un cop elaborada la informació, fet l’informe, dictamen, etc…, si no són necessàries aquestes notes, esborranys, còpies, etc.., s’han de destruir o esborrar en funció del tipus de suport emprat. Observeu l’article 4 de la LOPD. LOPD Principis de la protecció de dades. Article 4 Qualitat de les dades 5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades. Aquest article també ens ajuda a elaborar criteris sobre la caducitat de la informació, de les dades recollides o dels informes elaborats.


Lluís Álvarez

22

.Posterior al procés d’elaboració de la informació. Que es fa d’aquest material recollit a les coordinacions amb el CSMIJ, CDIAG o a les CAD? Cal tenir en compte que de vegades a les reunions amb el CSMIJ, CDIAG o a les CAD es parla de persones en particular, fent referència a dades de caràcter personal de salut. Aquestes dades són de les més delicades, d’aquí la importància de tenir uns procediments adequats per al seu tractament. Aquest ha de comportar una actuació ràpida, de forma que no quedin aquestes dades recollides en llibretes o agendes indefinidament. Posteriorment, un cop elaborada la informació, fet l’informe, dictamen, etc…, si no són necessàries aquestes notes, esborranys, còpies, etc.., s’han de destruir o esborrar en funció del tipus de suport emprat. Observeu l’article 4 de la LOPD. LOPD Principis de la protecció de dades. Article 4 Qualitat de les dades 5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades.


Lluís Álvarez

23

6.- DIPÒSIT .Arxiu manual. A on està ubicat? .Accés. Qui té dret? .Hi ha expedients a les taules? I arxius paral·lels? .Hi ha arxius d’informes, dades d’alumnes, etc, als ordinadors de sobretaula? .Ordinador sobretaula. Qui té accés? .Mesures de seguretat dels armaris arxivadors i dels materials de suport: cd, disketes. Els arxivadors estan tancats amb claus? Les còpies en cd es guarden amb mesures de seguretat?, etc.. .Caducitat de les dades, informes i expedients. Els alumn@s varien, no sempre són iguals. Quan es fa un informe o es valora un alumn@ amb unes ne i amb el temps canvien, que feu? Quina política teniu amb els expedients dels alumn@s que han marxat dels centres (18 anys o mes)? .Ordinador general. Quines mesures de seguretat té? Es revisa regularment (15 dies) l’arrel del HD o l’escriptori pels arxius despistats? .Procediments amb l’ordinador portàtil. Quines Mesures de Seguretat tenen? .Procediments amb el pen driver. Teniu algun programa que codifiqui el contingut o que demani una clau per accedir-hi? .Has canviat la contrasenya de l’ordinador? Als ordinadors, quina política de passwords teniu? .Hi ha dades de caràcter personal al teu ordinador portàtil? .Quina política de còpies de seguretat, backups, del disc dur teniu? .Quina política teniu en la gestió de suports, de còpies en cd, disquets, etc..? .Arxiu manual. A on està ubicat? L’article 9 de la LOPD diu que s’han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries per garantir la seguretat de les dades. Aquestes mesures són pels fitxers, manuals i automatitzats. La importància de la ubicació del fitxer manual ve donada per la possibilitat d’accés de persones no autoritzades. Per aquesta raó situar aquests fitxers en sales aïllades i tancades amb clau són les mesures òptimes, malgrat que no són les més funcionals i sovint possibles. Altres opcions són situar aquests fitxers en les mateixes sales de treball, en els centres educatius a secretaria o direcció, en un servei educatiu a la sala de reunions o als despatxos. Una de les opcions funcionals (còmodes) que fan servir alguns serveis, EAP, és situar aquests fitxers als mateixos centres on estan estudiant els alumnes. En aquest supòsit cal tenir en compte que: . el responsable del fitxer és el director del servei, EAP, malgrat no tenir cap control d’aquests expedients, . que aquests expedients no es dipositen a les sales reservades als arxius del centre i, conseqüentment, les mesures de seguretat són relativament baixes (es poden deixar en un armari tancat dins l’aula d’educació especial, o al despatx que fa servir el professional de l’EAP al centre, que sovint és un espai compartit...) Una altra mesura fàcil i important és tancar els armaris arxivadors amb les claus que sempre tenen. Aquesta mesura s’hauria d’utilitzar regularment, diàriament. LOPD, Article 9 Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de


Lluís Álvarez

24

les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. (Dades especialment protegides). .Accés. Qui té dret? L’accés a les dades és una de les claus de tota la normativa sobre protecció de dades. Aquestes normes remarquen que l’interessat té uns drets sobre les seves pròpies dades, com és el d’accés, però també delimiten qui no té aquest dret. Tot això està en diversos articles de la LOPD i en el Reial Decret 994/1999 Sobre el dret d’accés de l’interessat: LOPD Article 4, 6. Les dades de caràcter personal han de ser emmagatzemades de manera que permetin l’exercici del dret d’accés, llevat que siguin legalment cancel·lades. Article 5, 1. Els interessats als quals se sol·licitin dades personals han de ser prèviament informats de manera expressa, precisa i inequívoca: d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició. Article 15 Dret d’accés 1. L’interessat té dret a sol·licitar i obtenir gratuïtament informació de les seves dades de caràcter personal sotmeses a tractament, l’origen de les dades i les comunicacions efectuades o que es prevegin fer. 2. La informació es pot obtenir mitjançant la mera consulta de les dades per mitjà de la visualització, o la indicació de les dades que són objecte de tractament mitjançant escrit, còpia, telecòpia o fotocòpia, certificada o no, en forma llegible i intel·ligible, sense utilitzar claus o codis que requereixin l’ús de dispositius mecànics específics. 3. El dret d’accés a què es refereix aquest article només pot ser exercit a intervals no inferiors a dotze mesos, llevat que l’interessat acrediti un interès legítim a aquest efecte, cas en què el poden exercir abans. Article 18 Tutela dels drets 2. L’interessat al qual es denegui, totalment o parcialment, l’exercici dels drets d’oposició, accés, rectificació o cancel·lació, ho pot posar en coneixement de l’Agència de Protecció de Dades o, si s’escau, de l’organisme competent de cada comunitat autònoma, que s’ha d’assegurar de la procedència o la improcedència de la denegació. Article 44 Tipus d’infraccions 1. Les infraccions es qualifiquen de lleus, greus o molt greus. 3. Són infraccions greus: e) Impedir o obstaculitzar l’exercici dels drets d’accés i oposició i la negativa a facilitar la informació que sigui sol·licitada. 4. Són infraccions molt greus: h) No atendre o obstaculitzar de manera sistemàtica l’exercici dels drets d’accés, rectificació, cancel·lació o oposició.


Lluís Álvarez

25

Únicament tenen dret d’accés a les dades de caràcter personal les persones autoritzades que són les que per la seva funció han de treballar necessàriament amb elles. Les mesures de seguretat dels fitxers automatitzats són bastant restrictives i demanen uns procediments estrictes, veure el Reial Decret 994/1999. LOPD Article 9. Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 5 Accés a dades per mitjà de xarxes de comunicacions Les mesures de seguretat exigibles als accessos a dades de caràcter personal per mitjà de xarxes de comunicacions han de garantir un nivell de seguretat equivalent al corresponent als accessos de manera local. Article 11 Identificació autenticació 1. El responsable del fitxer s’encarrega que hi hagi una relació actualitzada d’usuaris que tinguin accés autoritzat al sistema d’informació i d’establir procediments d’identificació i autenticació per a aquest accés. Article 12 Control d’accés 1. Els usuaris tenen accés autoritzat únicament a les dades i els recursos que requereixin per a l’exercici de les seves funcions. 2. El responsable del fitxer ha d’establir mecanismes per evitar que un usuari pugui accedir a dades o recursos amb drets diferents dels autoritzats. 3. La relació d’usuaris a què es refereix l’article 11.1 d’aquest Reglament ha de contenir l’accés autoritzat per a cadascun d’ells. 4. Exclusivament el personal autoritzat per fer-ho en el document de seguretat pot concedir, alterar o anul·lar l’accés autoritzat sobre les dades i els recursos, d’acord amb els criteris que estableixi el responsable del fitxer. Article 18 Identificació i autenticació 1. El responsable del fitxer estableix un mecanisme que permeti la identificació de manera inequívoca i personalitzada de tots els usuaris que intentin accedir al sistema d’informació i la verificació que està autoritzat. 2. Es limita la possibilitat d’intentar reiteradament l’accés no autoritzat al sistema d’informació. Article 19 Control d’accés físic Exclusivament el personal autoritzat en el document de seguretat pot tenir accés als locals on es trobin ubicats els sistemes d’informació amb dades de caràcter personal. .Hi ha expedients a les taules? I arxius paral·lels? La dificultat de la qüestió és l’accés. Les dades de caràcter personal són accessibles a tothom? I al servei de neteges o manteniment? Cal observar l’apartat sobre el dret d’accés.


Lluís Álvarez

26

En alguns centres i serveis es creen fitxers paral·lels als ordinaris, (inscrits), per ajudar al normal funcionament. Així pot existir un fitxer a l’aula d’EE/psicopedagog/a o els membres de l’EAP poden dipositar els expedients que han d’utilitzar durant el curs en un petit arxivador a prop de la seva taula… Les mesures de seguretat que han de tenir les dades de caràcter personal en aquestes situacions són difícils de garantir. La normativa els recull en l’article 9 de la LOPD LOPD Article 9. Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. Aquestes situacions es poden regular per normativa interna i fer constar al Document de Seguretat que els expedients han de restar normalment als armaris arxivadors. Veure el Document de Seguretat. També es pot observar la Recomendación 2/2004 de l’APDMadrid, SEGUNDO.- Seguridad del fichero de historias clínicas, punto 4, Control de acceso físico al archivo. .Hi ha arxius d’informes, dades d’alumnes, etc, als ordinadors de sobretaula? La dificultat de la qüestió és l’accés. Són accessibles a tothom? Qui té accés als locals del centre/servei? Revisar l’apartat sobre el dret d’accés a les dades. L'ús dels sistemes d'informació es regula normalment per normativa interna i s'explica al Document de Seguretat indicant les funcions, obligacions, de tots els usuaris de les dades. Veure el Document de Seguretat. .Ordinador sobretaula. Qui té accés? Veure l’apartat sobre el dret d’accés a les dades. .Mesures de seguretat dels armaris arxivadors i dels materials de suport: cd, disketes. Els arxivadors estan tancats amb claus? Les còpies en cd es guarden amb mesures de seguretat?, etc.. Han d’existir les mesures de caràcter tècnic i organitzatiu necessàries per garantir la seguretat de les dades dipositades. Això està a l’article 9 de la LOPD. Així els armaris han de restar tancats, les còpies de fitxers amb aquestes dades en cd, disketes, etc.., també han de tenir les mateixes mesures de seguretat. Tot això ha d’estar recollit al Document de Seguretat del centre/servei. LOPD, Article 9 Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades


Lluís Álvarez

27

emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. .Caducitat de les dades, informes i expedients. Els alumn@s varien, no sempre són iguals. Quan es fa un informe o es valora un alumn@ amb unes ne i amb el temps canvien, que feu? Quina política teniu amb els expedients dels alumn@s que han marxat dels centres (18 anys o més)? La caducitat de les dades la dóna la raó per la qual es van recollir: si tenien una finalitat i aquesta ja es va complir i no hi ha altres raons per conservar-les, es poden dissociar o destruir. Els informes acadèmics, notes, avaluacions, etc.., d’un alumn@ es poden conservar tota l’escolaritat, ja que la seva finalitat no és únicament informar als pares, també han de servir per avaluar cicles o etapes. Algunes valoracions més de tipus psicopedagògic poden perdre la seva vigència en el moment que canvia de cicle o etapa o simplement la situació familiar. Informes de comportaments conductuals a partir de situacions extremes de caire social-familiar, poden variar si aquestes situacions varien. Totes les orientacions aportades en aquest tipus d’informe perden la seva vigència i no hi ha raons per conservar-los. Igual passa amb altres informes. La normativa diu: LOPD, Principis de la protecció de dades. Article 4. Qualitat de les dades 3. Les dades de caràcter personal han de ser exactes i posades al dia de manera que responguin amb veracitat a la situació actual de l’afectat. 4. Si les dades de caràcter personal registrades són inexactes, en tot o en part, o incompletes, han de ser cancel·lades i substituïdes d’ofici per les dades corresponents rectificades o completades, sens perjudici de les facultats que l’article 16 reconeix als afectats. 5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades. En relació al temps que s’han de conservar els expedients val la pena considerar el que diu l’Agencia de Protección de Datos de la Comunidad de Madrid, a la “Recomendación 2/2004 de 30 de julio” sobre la protecció de dades a les històries clíniques no informatitzades. Explica que aquestes històries són actives en el moment que es donen d’alta i durant un període mínim de 5 anys a comptar de la darrera actuació i que, aleshores, passen a ser passives durant el temps legalment exigible, a efectes judicials de conformitat amb la legislació vigent. Aquesta és una opció factible i vàlida, orientada per l’auditoria de l’APDCAT. Aquesta recomanació es podria aplicar als expedients dels alumn@s dels serveis educatius.


Lluís Álvarez

28

.Ordinador general. Quines mesures de seguretat té? Es revisa regularment (15 dies) l’arrel del disc dur o l’escriptori pels arxius despistats? Aquest ordinador és el que normalment té el fitxer automatitzat amb dades de caràcter personal. Cal observar la normativa. El Document de Seguretat del centre o servei ha de recollir aquestes mesures. Resulta normal fer servir claus d’accés als ordinadors amb dades de caràcter personal, per pura prevenció cal tenir un antivirus actualitzat igual que fer servir firewalls (tallafocs). El responsable d’informàtica hauria d’assegurar-se que les consignes recollides al Document de Seguretat s'estan complint, per això ha de revisar periòdicament els ordinadors d’ús comú per detectar errades de seguretat, com és deixar documents a l’escriptori o a l’arrel del disc dur, i obrir les incidències pertinents. Veure la normativa LOPD, Article 9 Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. Observar tot el Reial Decret 994/1999: reglament de mesures de seguretat dels fitxers automatitzats que continguin dades de caràcter personal. .Procediments amb l’ordinador portàtil. Quines Mesures de Seguretat tenen? Les mateixes mesures de seguretat dels ordinadors generals s’han de prendre als portàtils si contenen fitxers amb dades de caràcter personal. En cas de fer servir connexió sense fils, wireless, caldrà implementar mesures ajustades a aquesta característica, amb limitacions més restrictives en l’accés des de xarxes externes. Totes aquestes mesures s’han de recollir al Document de Seguretat. .Procediments amb el pen driver. Teniu algun programa que codifiqui el contingut o que demani una clau per accedir-hi? Si el pen-driver conté fitxers amb dades de caràcter personal, la mateixa normativa que s’aplica als fitxers automatitzats caldria aplicar-la a aquests enginys. En funció del tipus de dades caldran unes mesures més restrictives o no.


Lluís Álvarez

29

El Departament d’Educació va lliurar un programa que pot codificar el contingut dels pen-drivers. Simplement, es podria fer servir i aquest risc no existiria. LOPD, Article 9 Seguretat de les dades. 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal. Les mesures adoptades han d’estar recollides al Document de Seguretat del centre o servei. .Has canviat la contrasenya de l’ordinador? Als ordinadors, quina política de passwords teniu? Sovint el procediment d’identificació i autenticació establert per accedir als ordinadors es basa en contrasenyes, passwords. El Document de Seguretat ha de recollir que aquestes contrasenyes s'han de canviar periòdicament. L’encarregat de seguretat ha d’informar sobre la necessitat de canviar periòdicament les contrasenyes dels ordinadors portàtils en cas de contenir dades de caràcter personal. La normativa recull aquesta informació a: LOPD, Article 9 Seguretat de les dades. 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. (Dades especialment protegides). 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal. Article 5 Accés a dades per mitjà de xarxes de comunicacions


Lluís Álvarez

30

Les mesures de seguretat exigibles als accessos a dades de caràcter personal per mitjà de xarxes de comunicacions han de garantir un nivell de seguretat equivalent al corresponent als accessos de manera local. CAPÍTOL II Mesures de seguretat de nivell bàsic Article 8 Document de seguretat 1. El responsable del fitxer ha d’elaborar i implantar la normativa de seguretat mitjançant un document de compliment obligatori per al personal amb accés a les dades automatitzades de caràcter personal i als sistemes d’informació. Article 11 Identificació i autenticació 1. El responsable del fitxer s’encarrega que hi hagi una relació actualitzada d’usuaris que tinguin accés autoritzat al sistema d’informació i d’establir procediments d’identificació i autenticació per a aquest accés. 2. Si el mecanisme d’autenticació es basa en l’existència de contrasenyes, hi ha d’haver un procediment d’assignació, distribució i emmagatzemament que en garanteixi la confidencialitat i la integritat. 3. Les contrasenyes s’han de canviar amb la periodicitat que determini el document de seguretat i mentre estiguin vigents s’han d’emmagatzemar de manera inintel·ligible. .Hi ha dades de caràcter personal al teu ordinador portàtil? D’entrada no ha d’haver cap problema en relació al contingut emmagatzemat al disc dur de l’ordinador, tant dels portàtils com dels de sobretaula. En funció del tipus de dades, caldrà implementar unes mesures determinades. Consulteu les preguntes sobre mesures de seguretat d'ordinadors portàtils i de sobretaula. .Quina política teniu respecte les còpies de seguretat, backups, del disc dur? La normativa diu que, als ordinadors que tinguin fitxers amb dades de caràcter personal, cal establir uns procediments per fer còpies de seguretat i de recuperació de dades de forma regular, de com a mínim un cop a la setmana. Aquests procediments s’han de recollir al Document de Seguretat. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 14 Còpia de seguretat i recuperació 1. El responsable de fitxer s’encarrega de verificar la definició i l’aplicació correcta dels procediments de realització de còpies de seguretat i de recuperació de les dades. 2. Els procediments establerts per fer còpies de seguretat i per recuperar les dades han de garantir-ne la reconstrucció en l’estat en què estaven en el moment de produir-se la pèrdua o la destrucció. 3. S’han de fer còpies de seguretat com a mínim setmanalment, llevat que en aquest període no s’hagi produït cap actualització de les dades. .Quina política de gestió de suports, de còpies en cd, disquets, etc.., teniu? Si feu còpies en cd, o disc dur, pen-driver, etc… de fitxers amb dades de caràcter personal, aquest suport ha de permetre la identificació del que contenen i s’han d’inventariar i emmagatzemar de forma adient.


Lluís Álvarez

31

La sortida de suports informàtics amb aquest contingut dels locals on estigui ubicat el fitxer ha de ser autoritzada pel responsable del fitxer. Novament, cal generar procediments que s'ha de recollir al Document de Seguretat. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 13 Gestió de suports 1. Els suports informàtics que continguin dades de caràcter personal han de permetre d’identificar el tipus d’informació que contenen, ser inventariats i emmagatzemar-se en un lloc amb accés restringit al personal autoritzat per fer-ho en el document de seguretat. 2. La sortida de suports informàtics que continguin dades de caràcter personal, fora dels locals en què estigui ubicat el fitxer, només pot ser autoritzada pel responsable del fitxer.


Lluís Álvarez

32

7.- SORTIDA .Què és la cessió i la cessió a tercers? .Es poden cedir o comunicar les dades personals entre les diferents administracions públiques? .Cessió i cessió a tercers. Veure Glossari: Cessió o comunicació de dades: qualsevol revelació de dades efectuada a una persona diferent de l’interessat. Les cessions es produeixen en les coordinacions, reunions, etc., dels professionals o amb els pares. Si aquestes reunions són entre professionals del Departament, de centres, EAP, CREDA, ELIC, etc.., llocs on han estat lliurades i dipositades aquestes dades, no cal cap consentiment per fer les cessions, però si els professionals són externs al Departament, com són professionals privats o sanitaris o d’altres Departaments, es poden considerar tercers i caldrà el consentiment de l’interessat. Recordeu que consentiment de l’interessat és: qualsevol manifestació de la voluntat, lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixen. Veure la normativa en aquest punt: LOPD, Article 11 Comunicació de dades 1. Les dades de caràcter personal objecte del tractament només poden ser comunicades a un tercer per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i del cessionari amb el consentiment previ de l’interessat. Article 21 Comunicació de dades entre administracions públiques 1. Les dades de caràcter personal recollides o elaborades per les administracions públiques per a l’exercici de les seves atribucions no han de ser comunicades a altres administracions públiques per a l’exercici de competències diferents o de competències que tractin matèries diferents, excepte quan la comunicació hagi estat prevista per les disposicions de creació del fitxer o per una disposició de rang superior que en reguli l’ús, o quan la comunicació tingui com a objecte el tractament posterior de les dades amb finalitats històriques, estadístiques o científiques.* * L’incís en cursiva ha estat declarat inconstitucional per la STC 292/2000, de 30 de novembre. .Es poden cedir o comunicar les dades personals entre les diferents administracions públiques? Les dades de caràcter personal de les quals disposin les administracions públiques es poden cedir o comunicar a una altra administració en els supòsits que regula l'article 21 de la Llei orgànica de Protecció de Dades personals: .quan la comunicació o cessió hagi estat prevista en una norma amb rang de llei;


Lluís Álvarez

33

.quan les dades es comuniquin o cedeixin per a l'exercici de les mateixes competències o tractin sobre les mateixes matèries; .quan tinguin per objecte el tractament de dades amb finalitats històriques, estadístiques o científiques; .quan una administració obtingui o elabori les dades amb destinació a una altra. Fora d'aquests supòsits expressament habilitats i sempre i quan no es tracti dels casos regulats a l'article 11 de la Llei orgànica de Protecció de Dades de Caràcter Personal, és necessari el consentiment de l'afectat.


Lluís Álvarez

34

8.- ACTUACIONS PROFESSIONALS ORDINÀRIES ..Entrevistes amb pares ..Entrevistes amb professional del D. d’Educació ..Entrevistes amb professional de fora de D. d’Educació ..Entrevistes amb professionals de sanitat ..Observacions d’alumnes (individuals, col·lectives) ..Material recollit en observacions, reunions, trucades telefòniques, etc… ..Informes, dictàmens, notes, … ..Expedients i Fitxers ..Ordinadors, pen-drivers, cd, diskettes, etc… ..Telecomunicacions: Fax, email, telèfon, correu, etc…


Lluís Álvarez

35

8. 1.- ..Entrevistes amb pares ..Convocatòria. Es fa convocatòria? Aquesta informa de l’ordre del dia? I dels assistents a la reunió? ..Quines persones han de participar a la reunió? ..Quina informació podem donar? A quina tenen dret? Dret d’informació… S’informa als pares que les dades de caràcter personal recollides passen a un fitxer? S’informa dels drets d’accés, modificació, cancel·lació…? ..Cal demanar el consentiment, o autorització d’actuació (en observacions, tests..)? ..A on hem de fer la reunió? ..Com recollim la informació? ..Convocatòria. Es fa convocatòria? Aquesta informa de l’ordre del dia? I dels assistents a la reunió? Sempre cal una convocatòria per fer les reunions. Aquesta ha de recollir tots els temes que es tractaran de forma clara. D’aquesta manera facilitarem que els pares pugin preparar la reunió i en cas d’absència d’algun d’ells, que l’altre pugi respondre en nom dels dos. A les reunions, el que fan els assistents normalment és una cessió de dades, un intercanvi. A tothom li calen unes condicions òptimes per explicar-se, però més als pares o familiars d’alumnes que, no hem d’oblidar, tenen dret a una certa privacitat a l’hora de parlar d’aquests temes. És bo que cap dels assistents se senti “pressionat”. Un ambient no tensionat facilita l’intercanvi d’informacions. Ens ajuda a entendre aquestes qüestions l’article 4 de la LOPD, que parla de la forma de recollir la informació: mai per mitjans fraudulents, deslleials o il·lícit. La mateixa llei a l’article 7 entra en el tema de les dades especialment protegides i limita les condicions per recollir-les. LOPD Article 4. Qualitat de les dades 7. Es prohibeix la recollida de dades per mitjans fraudulents, deslleials o il·lícits. Article 7. Dades especialment protegides 3. Les dades de caràcter personal que facin referència a l’origen racial, a la salut i a la vida sexual només poden ser recollides, tractades i cedides quan, per raons d’interès general, així ho disposi una llei o l’afectat hi consenti expressament. ..Quines persones han de participar a la reunió? El fet de participar en una reunió comporta l’accés a la informació que allí es tracti. No tothom té dret d’accés a la informació. Cal tenir en compte que a les reunions es fan cessions de dades, sovint lligades a noms i amb freqüència referides a aspectes de personalitat, caràcter, etc.. D’aquí que les persones que participin a les reunions han d’ésser les adequades i amb dret d’accés a aquestes dades. Els professionals que han de rebre la informació normalment són els que han d’actuar amb l’alumne i necessiten aquesta informació per desenvolupar la


Lluís Álvarez

36

seva funció. Cal explicar que aquestes informacions no són públiques i no es poden divulgar, ja que estan sota el secret professional. Respecte a la responsabilitat que tenim sobre les dades, la regla és: si per la nostra feina podem cedir les dades i el nostre interlocutor les pot rebre per la seva, la responsabilitat passa d’un a l’altre al fer la cessió. Paral·lelament sempre podem explicar a la persona que rep les dades quina és la qualitat d'aquestes i l’ús que esperem que es faci. ..Quina informació podem donar? A quina tenen dret? Dret d’informació… S’informa als pares que les dades de caràcter personal recollides passen a un fitxer? S’informa dels drets d’accés, modificació, cancel·lació...? Els pares tenen dret a rebre informació de les dades recollides als fitxers i d’ésser informats. Cal informar sempre, però no cal demanar el consentiment per recollir les dades o fer intervencions. LOPD, Article 5 Dret d’informació en la recollida de dades 1. Els interessats als quals se sol·licitin dades personals han de ser prèviament informats de manera expressa, precisa i inequívoca: a) De l’existència d’un fitxer o un tractament de dades de caràcter personal, de la finalitat de la recollida de les dades i dels destinataris de la informació. b) Del caràcter obligatori o facultatiu de la resposta a les preguntes que els siguin plantejades. c) De les conseqüències de l’obtenció de les dades o de la negativa a subministrar-les. d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició. e) De la identitat i la direcció del responsable del tractament o, si s’escau, del seu representant. ..Cal demanar el consentiment, o autorització d’actuació (en observacions, tests..)? No és necessari demanar cap tipus de permís, autorització, etc.., per intervenir en les actuacions relatives a la feina assignada, però si cal informar a les famílies de la incorporació de les dades a un fitxer i dels drets que tenen, recollits a la LOPD. LOPD, Article 5 Dret d’informació en la recollida de dades 1. Els interessats als quals se sol·licitin dades personals han de ser prèviament informats de manera expressa, precisa i inequívoca: a) De l’existència d’un fitxer o un tractament de dades de caràcter personal, de la finalitat de la recollida de les dades i dels destinataris de la informació. b) Del caràcter obligatori o facultatiu de la resposta a les preguntes que els siguin plantejades. c) De les conseqüències de l’obtenció de les dades o de la negativa a subministrar-les. d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició. e) De la identitat i la direcció del responsable del tractament o, si s’escau, del seu representant. Malgrat això, és molt important, per a la continuïtat de la intervenció informar a la família abans d’iniciar-la.


Lluís Álvarez

37

..A on hem de fer la reunió? El lloc per fer les entrevistes ha de garantir la privacitat suficient per facilitar la comunicació de dades: un despatx, una sala aïllada, tutoria… ..Com recollim la informació? Per recollir la informació de les reunions és bo fer servir pautes. Ens ajuden posteriorment a arxivar-la i evitem extraviar-la.


Lluís Álvarez

38

8. 2.- ..Entrevistes amb professionals del Departament d’Educació ..Convocatòria ..Quines persones han de participar a la reunió? Per parlar de casos com són els dictàmens el podem fer en reunió de..? En les reunions que parlem d’alumnes amb nee o de risc social, qui pot participar? A les CAD quines persones participen? ..Quina informació podem donar? A quina tenen dret? Com és el full de traspàs individual primària secundària? ..Hi ha elements que comportin una transmissió de responsabilitat en els documents escrits? I en el correu, fax, email ? Hi ha algun advertiment de la responsabilitat que comporta la cessió de dades? Quin canal fem servir per lliurar els informes? ..A les reunions, hi ha traspàs de responsabilitat? Es parla de la importància de les dades? ..A on hem de fer la reunió? ..Com recollim la informació? ..Convocatòria. Sempre cal una convocatòria per fer les reunions. Aquesta ha de recollir els participants i tots els temes que es tractaran de forma clara. ..Quines persones han de participar a la reunió? Per parlar de casos com són els dictàmens el podem fer en reunió de..? En les reunions que parlem d’alumnes amb nee o de risc social, qui pot participar? A les CAD quines persones participen? Cal tenir en compte que a les reunions es fan cessions de dades, sovint lligades a noms i amb freqüència referides a aspectes de personalitat, caràcter, etc.. D’aquí que les persones que participin a les reunions han d’ésser les adequades i autoritzades a accedir-hi a aquestes dades. Els professionals que han de rebre la informació normalment són els que han d’actuar amb l’alumne i necessiten aquesta informació per desenvolupar la seva funció. Cal explicar que aquestes informacions no són públiques i no es poden divulgar, ja que estan sotmeses al secret professional. El més normal és que per parlar de casos, com són dictàmens, es faci des de reunions de seguiment dels casos, en les que participa normalment alguna persona de l’equip directiu del centre, el tutor/a i el professional de suport. A les CAD, que participen diversos representants de tot el centre, no s’ha de parlar de casuístiques personals, casos. Aquestes reunions es reserven per tractar problemàtiques globals de centre, departament, àrees, etc…. ..Quina informació podem donar? A quina tenen dret? Com és el full de traspàs individual primària secundària? S’ha de lliurar la informació necessària per desenvolupar la funció en relació a les dades. No cal donar més, no estem autoritzats a lliurar-la. Per entendre aquest apartat cal revisar el dret d’accés a les dades de caràcter personal: únicament les persones autoritzades. El full de traspàs ha de recollir la informació necessària per ajudar a fer el pas a la nova etapa. Aquesta informació no ha d’ésser excessiva, únicament la necessària: no cal


Lluís Álvarez

39

informar de les característiques personals de cadascun dels alumnes que passen a l’institut, però podem informar del que sigui necessari al nou centre per ajudar a aquest alumn@. A les reunions entre professionals del Departament, (de centres, EAP, CREDA, ELIC… etc), llocs on es van lliurar i dipositar les dades de caràcter personal, no cal cap consentiment per fer les cessions. ..Hi ha elements que comportin una transmissió de responsabilitat en els documents escrits? I en el correu, fax, email ? Hi ha algun advertiment de la responsabilitat que comporta la cessió de dades? Quin canal fem servir per lliurar els informes? Realment no són necessaris aquests elements. Si per la nostra feina podem lliurar les dades i nostre interlocutor les pot rebre per la seva, la responsabilitat passa d’un a l’altre. Malgrat això, va bé fer servir alguns elements com són les capçaleres, o introduir informació que ajudi a entendre el sentit del document, com és explicar la finalitat que té. També es pot incloure la caducitat, si ha de tenir alguna. El canal per lliurar la informació hauria d’ésser el més directe: la persona que ha de treballar amb ella. El sobre o ofici que acompanyi aquest document ha d’indicar el nom de la persona a la qual s'adreça, qui la lliura i el tipus d’informació (informe d’en…). Si es pot, s’ha d’actuar com si la informació es lliurés al Departament, fent servir els mateixos procediments: amb un ofici o un sobre que indiquin a qui va adreçat, etc…. Veure telecomunicacions. ..A les reunions, hi ha traspàs de responsabilitat? Es parla de la importància de les dades? El fet de participar en una reunió comporta l’accés a la informació. No tothom té dret d’accés a la informació. Si per la nostra feina podem cedir les dades i el nostre interlocutor les pot rebre per la seva, la responsabilitat passa d’un a l’altre al fer la cessió. Paral·lelament sempre podem explicar a la persona que rep les dades quina és la qualitat d'aquestes i l’ús que esperem que es faci. Una forma de valorar quina informació hem de lliurar consisteix en intentar escriure allò que hem de dir, pensant que posteriorment aquesta informació s’integrarà en un fitxer extern. Per això va bé lliurar aquesta informació de forma escrita. S’ha de pensar que les persones assistents a la reunió tenen dret d’accés a les dades que es gestionaran, però sempre va bé recordar la qualitat de les dades dins del sentit professional que comporta aquesta cessió. ..A on hem de fer la reunió? El lloc per fer les entrevistes ha de garantir la privacitat suficient per facilitar la comunicació de dades: un despatx, una sala aïllada, tutoria… ..Com recollim la informació? Per recollir la informació de les reunions és bo fer servir pautes. Ens ajuden posteriorment a arxivar-la i evitem extraviar-la.


Lluís Álvarez

40

8. 3.- ..Entrevistes amb professionals de fora del Departament d’Educació ..Per reunir-se, cal fer convocatòria ..Quines persones han de participar a la reunió? ..Quina informació podem donar? A quina tenen dret? ..En quines situacions podem lliurar informació a un tercer? ..Es poden cedir o comunicar les dades personals entre les diferents administracions públiques? ..En cas de considerar imprescindible lliurar una informació a un tercer, a qui s’ha de comunicar aquesta cessió? Com hem d’actuar? ..A on hem de fer la reunió? ..Com recollim la informació? ..Per reunir-se, cal fer convocatòria. Sempre cal una convocatòria per fer les reunions. Aquesta ha de recollir els participants i tots els temes que es tractaran de forma clara. ..Quines persones han de participar a la reunió? Cal tenir en compte que a les reunions es fan cessions de dades, sovint lligades a noms i sovint referides a aspectes de personalitat, caràcter, etc.. D’aquí que les persones que participin a les reunions han d’ésser les adequades i amb dret d’accés a les dades. Els professionals que han de rebre la informació normalment són els que han d’actuar amb l’alumne i necessiten aquesta informació per desenvolupar la seva funció. Cal explicar que aquestes informacions no són públiques i no es poden divulgar, ja que estan sotmeses al secret professional. Abans de fer reunions amb professionals externs cal comunicar-lo als pares/alumnes. En cas de tractar-se de dades de tipus santari, protegides, cal el seu consentiment. ..Quina informació podem donar? A quina tenen dret? Cal recordar que cessió o comunicació de dades és qualsevol revelació de dades efectuada a una persona diferent de l’interessat. Les cessions es produeixen en les coordinacions, reunions, etc., dels professionals. Si aquestes reunions són entre professionals externs al Departament, com són professionals privats o sanitaris o d’altres Departaments, es poden considerar aquests tercers i caldrà el consentiment de l’interessat. Recordeu que consentiment de l’interessat és: qualsevol manifestació de la voluntat, lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixen. Veure la normativa en aquest punt: LOPD Article 11 Comunicació de dades


Lluís Álvarez

41

1. Les dades de caràcter personal objecte del tractament només poden ser comunicades a un tercer per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i del cessionari amb el consentiment previ de l’interessat. Article 21 Comunicació de dades entre administracions públiques 1. Les dades de caràcter personal recollides o elaborades per les administracions públiques per a l’exercici de les seves atribucions no han de ser comunicades a altres administracions públiques per a l’exercici de competències diferents o de competències que tractin matèries diferents, excepte quan la comunicació hagi estat prevista per les disposicions de creació del fitxer o per una disposició de rang superior que en reguli l’ús, o quan la comunicació tingui com a objecte el tractament posterior de les dades amb finalitats històriques, estadístiques o científiques.* * L’incís en cursiva ha estat declarat inconstitucional per la STC 292/2000, de 30 de novembre. ..En quines situacions podem lliurar informació a un tercer? Quan es parla de cessió cal pensar en dret d’accés. A qui podem lliurar una informació recollida en un fitxer? Cal observar l’apartat sobre dret d’accés a les dades. ..Es poden cedir o comunicar les dades personals entre les diferents administracions públiques? Les dades de caràcter personal de les quals disposin les administracions públiques es poden cedir o comunicar a una altra administració en els supòsits que regula l'article 21 de la Llei orgànica de Protecció de Dades personals: .quan la comunicació o cessió hagi estat prevista en una norma amb rang de llei; .quan les dades es comuniquin o cedeixin per a l'exercici de les mateixes competències o tractin sobre les mateixes matèries; .quan tinguin per objecte el tractament de dades amb finalitats històriques, estadístiques o científiques; .quan una administració obtingui o elabori les dades amb destinació a una altra. Fora d'aquests supòsits expressament habilitats i sempre i quan no es tracti dels casos regulats a l'article 11 de la Llei orgànica de Protecció de Dades de Caràcter Personal, és necessari el consentiment de l'afectat. ..En cas de considerar imprescindible lliurar una informació a un tercer, a qui s’ha de comunicar aquesta cessió? Com hem d’actuar? Observem que diu la normativa: LOPD Article 7 Dades especialment protegides 2. Només amb el consentiment exprés i per escrit de l’afectat poden ser objecte de tractament les dades de caràcter personal que revelin la ideologia, l’afiliació sindical, la religió i les creences. S’exceptuen els fitxers mantinguts pels partits polítics, els sindicats, les esglésies, les confessions o les comunitats religioses i associacions, les


Lluís Álvarez

42

fundacions i altres entitats sense ànim de lucre, amb finalitat política, filosòfica, religiosa o sindical, quant a les dades relatives als seus associats o els seus membres, sens perjudici que la cessió d’aquestes dades requereix sempre el consentiment previ de l’afectat. Article 11 Comunicació de dades 1. Les dades de caràcter personal objecte del tractament només poden ser comunicades a un tercer per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i del cessionari amb el consentiment previ de l’interessat. 2. El consentiment que exigeix l’apartat anterior no és necessari: a) Quan la cessió està autoritzada en una llei. b) Quan es tracti de dades recollides de fonts accessibles al públic. c) Quan el tractament respongui a la lliure i legítima acceptació d’una relació jurídica el desenvolupament, el compliment i el control de la qual impliqui necessàriament la connexió del tractament esmentat amb fitxers de tercers. En aquest cas, la comunicació només és legítima quan es limiti a la finalitat que la justifiqui. d) Quan la comunicació que s’hagi d’efectuar tingui com a destinatari el defensor del Poble, el ministeri fiscal o els jutges o tribunals o el Tribunal de Comptes, en l’exercici de les funcions que té atribuïdes. Tampoc no cal el consentiment quan la comunicació tingui com a destinatari institucions autonòmiques amb funcions anàlogues al defensor del Poble o al Tribunal de Comptes. e) Quan la cessió es produeixi entre administracions públiques i tingui com a objecte el tractament posterior de les dades amb finalitats històriques, estadístiques o científiques. f) Quan la cessió de dades de caràcter personal relatives a la salut sigui necessària per solucionar una urgència que requereixi accedir a un fitxer o per fer els estudis epidemiològics en els termes que estableix la legislació sobre sanitat estatal o autonòmica. 3. És nul el consentiment per a la comunicació de les dades de caràcter personal a un tercer quan la informació que es proporcioni a l’interessat no li permeti conèixer la finalitat a què destinen les dades la comunicació de les quals s’autoritza o el tipus d’activitat del receptor de la comunicació. 4. El consentiment per a la comunicació de les dades de caràcter personal també té caràcter revocable. 5. El receptor de la comunicació de les dades de caràcter personal s’obliga, pel sol fet de la comunicació, a l’observança de les disposicions d’aquesta Llei. 6. Si la comunicació s’efectua amb el procediment previ de dissociació, no és aplicable el que estableixen els apartats anteriors. Article 27 Comunicació de la cessió de dades 1. El responsable del fitxer, en el moment en què s’efectuï la primera cessió de dades, ha d’informar-ne els afectats, indicant-hi, també, la finalitat del fitxer, la naturalesa de les dades que han estat cedides i el nom i l’adreça del cessionari. 2. L’obligació que estableix l’apartat anterior no existeix en el supòsit 54 que preveuen els apartats 2, lletres c), d), e) i 6 de l’article 11, ni quan la cessió estigui imposada per llei. ..A on hem de fer la reunió? El lloc per fer les entrevistes ha de garantir la privacitat suficient per facilitar la comunicació de dades: despatx, una sala aïllada, … ..Com recollim la informació?


Lluís Álvarez

43

Per recollir la informació de les reunions és bo fer servir pautes. Ens ajuden posteriorment a arxivar-la i evitem extraviar-la.


Lluís Álvarez

44

8. 4.- ..Entrevistes amb professionals de sanitat ..Convocatòria ..Quines persones han de participar a la reunió? ..Quina informació podem donar? A quina tenen dret? ..A on hem de fer la reunió? ..Com recollim la informació? ..Que es fa del material recollit en les coordinacions amb el CSMIJ, a on es guarda? ..Convocatòria. Sempre cal una convocatòria per fer les reunions. Aquesta ha de recollir els participants i tots els temes que es tractaran de forma clara. ..Quines persones han de participar a la reunió? Cal tenir en compte que a les reunions es fan cessions de dades, sovint lligades a noms i amb freqüència referides a aspectes de personalitat, caràcter, etc.. D’aquí que les persones que participin a les reunions han d’ésser les adequades i autoritzades a accedir-hi a aquestes dades. Així, els professionals que han de rebre la informació normalment són els que han d’actuar amb l’alumne i necessiten aquesta informació per desenvolupar la seva funció. Cal explicar que aquestes informacions no són públiques i no es poden divulgar, ja que estan sotmeses al secret professional. Abans de fer reunions amb professionals externs cal comunicar-lo amb els pares/alumnes. En cas de tractar-se de dades de tipus santari, protegides, cal el consentiment. ..Quina informació podem donar? A quina tenen dret? Quan es parla de cessió cal pensar en dret d’accés. A qui podem lliurar una informació recollida en un fitxer? Cal observar l’apartat sobre dret d’accés a les dades. En les coordinacions amb professionals de sanitat sovint es parla de dades referents a la salut. Aquestes dades estan classificades com a especialment protegides i cal actuar amb molta prudència si les hem d’incorporar al fitxer. Cal tenir en compte que els professionals externs al Departament, com són professionals sanitaris, es poden considerar tercers i caldrà el consentiment de l’interessat si hem de fer cessions de dades. Recordeu que consentiment de l’interessat és: qualsevol manifestació de la voluntat, lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixen. En la cessió a tercers la normativa diu: LOPD, Article 11 Comunicació de dades


Lluís Álvarez

45

1. Les dades de caràcter personal objecte del tractament només poden ser comunicades a un tercer per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i del cessionari amb el consentiment previ de l’interessat. Article 21 Comunicació de dades entre administracions públiques 1. Les dades de caràcter personal recollides o elaborades per les administracions públiques per a l’exercici de les seves atribucions no han de ser comunicades a altres administracions públiques per a l’exercici de competències diferents o de competències que tractin matèries diferents, excepte quan la comunicació hagi estat prevista per les disposicions de creació del fitxer o per una disposició de rang superior que en reguli l’ús, o quan la comunicació tingui com a objecte el tractament posterior de les dades amb finalitats històriques, estadístiques o científiques.* * L’incís en cursiva ha estat declarat inconstitucional per la STC 292/2000, de 30 de novembre. ..A on hem de fer la reunió? El lloc per fer les entrevistes ha de garantir la privacitat suficient per facilitar la comunicació de dades: despatx, una sala aïllada, … ..Com recollim la informació? Per recollir la informació de les reunions és bo fer servir pautes. Ens ajuden posteriorment a arxivar-la i evitem extraviar-la. ..Que es fa del material recollit en les coordinacions amb el CSMIJ, a on es guarda? Recordeu la LOPD, article 4, principis de la protecció de dades. Qualitat de les dades 5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades. Per això, si són necessàries les hem d’arxivar i en cas contrari s’han de destruir (destructora).


Lluís Álvarez

46

8. 5.- ..Observacions d’alumnes (individuals, col·lectives) ..Cal permís o consentiment per fer observacions, administrar proves, etc..? ..Com recollim la informació? ..Cal permís o consentiment per fer observacions, administrar proves, etc..? Per intervenir en actuacions relatives a la feina assignada no és necessari demanar cap tipus de permís, autorització, etc.., però cal informar a les famílies de la incorporació de les dades a un fitxer i dels drets que tenen, recollits a la LOPD. LOPD, Article 5 Dret d’informació en la recollida de dades 1. Els interessats als quals se sol·licitin dades personals han de ser prèviament informats de manera expressa, precisa i inequívoca: a) De l’existència d’un fitxer o un tractament de dades de caràcter personal, de la finalitat de la recollida de les dades i dels destinataris de la informació. b) Del caràcter obligatori o facultatiu de la resposta a les preguntes que els siguin plantejades. c) De les conseqüències de l’obtenció de les dades o de la negativa a subministrar-les. d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició. e) De la identitat i la direcció del responsable del tractament o, si s’escau, del seu representant. Aprofitant les explicacions que farem de la futura intervenció, podem informar d'aquests aspectes legals. ..Com recollim la informació? Per recollir la informació és bo fer servir pautes d’observació. Ens ajuden posteriorment a arxivar-la i evitem extraviar-la.


Lluís Álvarez

47

8. 6.- ..Material recollit en observacions, reunions, trucades telefòniques, etc… ..Que fem amb la informació recollida? ..Posterior al procés d’elaboració de la informació. Què fem de les còpies de paper o electròniques? ..Posterior al procés d’elaboració. Que es fa amb el material recollit a les coordinacions amb serveis sanitaris? ..Que fem amb la informació recollida? El material amb dades de caràcter personal necessari per desenvolupar la nostra feina s’ha de dipositar al fitxer, que ha de tenir les mesures de seguretat per garantir la seva conservació. El que sigui prescindible, reiteratiu, innecessari, etc.., s’ha de destruir (destructora). No ha de restar a les carpetes, llibretes, carteres, agendes, etc.., més temps del necessari. ..Posterior al procés d’elaboració de la informació. Què fem de les còpies de paper o electròniques? Normalment s’han de destruir amb els mitjans adequats. Un cop elaborada la informació, fet l’informe, dictamen, etc…, si els esborranys o còpies no són necessaris s’han de destruir o esborrar en funció del tipus de suport emprat. Observeu l’article 4 de la LOPD. LOPD Principis de la protecció de dades. Article 4 Qualitat de les dades 5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades. Aquest article també ens ajuda a elaborar criteris sobre la caducitat de la informació, de les dades recollides o dels informes elaborats. ..Posterior al procés d’elaboració. Que es fa amb el material recollit a les coordinacions amb serveis sanitaris? Aquest material, si és necessari per desenvolupar la nostra feina, s’ha d’arxivar de la forma oportuna. En cas contrari s’ha de destruir de forma adequada. Es tracta que no resti més del temps imprescindible a les carpetes, carteres, agendes, etc.. LOPD Principis de la protecció de dades. Article 4 Qualitat de les dades 5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades.


Lluís Álvarez

48

No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades.


Lluís Álvarez

49

8. 7.- ..Informes, dictàmens, notes, … ..Procés d’elaboració de la informació. A on hem d’elaborar la informació? ..Elaboració de la informació fora dels centres o serveis educatius. ..Com lliurem els documents oficials: a centres, a altres professionals? ..Procés d’elaboració de la informació. A on hem d’elaborar la informació? En un principi, als locals dels centres o serveis educatius. El Reglament de Mesures de Seguretat (RD 994/1999) es refereix a fitxers automatitzats, electrònics, però donat que no hi ha un reglament de mesures de seguretat pels fitxers manuals i que és necessari implementar alguna mesura, es podria aplicar la mateixa normativa pels dos tipus de fitxers, ja que les dades dels fitxers manuals són de nivell alt. Reial Decret 994/1999. Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 6 Règim de treball fora dels locals de la ubicació del fitxer L’execució de tractament de dades de caràcter personal fora dels locals de la ubicació del fitxer ha de ser autoritzada expressament pel responsable del fitxer i, en tot cas, s’ha de garantir el nivell de seguretat corresponent al tipus de fitxer tractat. ..Elaboració de la informació fora dels centres o serveis educatius. Les situacions excepcionals que comporten treballar amb dades de caràcter personal fora dels centres o serveis han d’observar-se al Document de Seguretat. Donat que no hi ha un reglament de mesures de seguretat pels fitxers manuals i que és necessari implementar alguna, ja que aquestes dades són de nivell alt, podem fer servir l’article 6 del RD 994/1999, referent a fitxers automatitzats. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 6 Règim de treball fora dels locals de la ubicació del fitxer L’execució de tractament de dades de caràcter personal fora dels locals de la ubicació del fitxer ha de ser autoritzada expressament pel responsable del fitxer i, en tot cas, s’ha de garantir el nivell de seguretat corresponent al tipus de fitxer tractat. El tractament de dades purament acadèmiques, com són les proves instrumentals d’àrees curriculars, llengua, matemàtiques, etc…, estan fora d’aquestes consideracions. ..Com lliurem els documents oficials: a centres, a altres professionals? La pregunta inicial que ens hem de fer és: Estem autoritzats a cedir aquestes dades de caràcter personal? Les podem lliurar a aquesta persona?


Lluís Álvarez

50

No hem d’oblidar que fer informes i lliurar-los són cessions i que podem cedir dades de caràcter personal únicament a persones autoritzades. D’aquí que cal ser curosos en el procés d’elaboració i cessió d’aquests informes. El més normal és lliurar l’informe en un sobre adreçat a la persona autoritzada. Ajuda també fer servir, dins del mateix document, capçaleres del tipus: De: XXX , psicopedagog servei…. A: YYY, professor tutor…. Assumpte: ….. Aquest informe el podem lliurar directament a aquesta persona, però si no és possible sempre podem deixar el sobre a la direcció (cap d’estudis).


Lluís Álvarez

51

8. 8.- ..Expedients i fitxer ..Hi ha expedients a les taules? I arxius paral·lels? ..Arxiu manual. Ubicació i mesures de seguretat. Espai tancat amb clau? Armaris amb claus? Es fan servir? ..Accés. Qui té dret? ..Hi ha arxius d’informes, dades d’alumn@s, etc, als ordinadors de sobretaula? ..Caducitat de dades, informes i expedients. Els alumn@s varien, no sempre són iguals. Quan es fa un informe o es valora un alumn@ amb unes ne i amb el temps canvien aquestes necessitats, que fem? Quina política teniu amb els expedients dels alumn@s que han marxat dels centres (més de 18 anys)? ..Hi ha expedients a les taules? I arxius paral·lels? La dificultat de la qüestió és l’accés. Són accessibles a tothom? I el servei de neteges o manteniment? Revisar l’apartat sobre l’accés. Es pot regular per normativa interna que els expedients restin als armaris arxivador normalment. Veure el Document de Seguretat. Ens pot donar criteris i idees també la Recomendación 2/2004 de l’APDMadrid, apartat Segundo, “Seguridad del fichero de historias clínicas”, punto 4, “Control de acceso físico al archivo”. “4. Control de acceso físico al archivo Únicamente el personal destinado en la UNADC o Servicio equivalente es el que podrá tener acceso a los locales donde este ubicada dicha Unidad, estableciendo a estos efectos las medidas de control necesarias. Estas medidas de control, deberán prever la excepcionalidad de posibles situaciones de urgencia en las que habrá que utilizar los medios necesarios para evitar el peligro que se puede ocasionar a las personas y bienes muebles, entre los que se encuentra la posibilidad de acceso a personas ajenas a estas dependencias (bomberos, servicios de emergencia, policía etc.). Por otra parte el personal de limpieza o de mantenimiento que pueda acceder a estos locales con carácter general, debería acceder dentro de los horarios de trabajo del personal propio de la UNADC o Servicio equivalente. Igualmente, los locales deberán contar con los medios de seguridad necesarios que eviten los riesgos que se puedan producir como consecuencia de incidencias fortuitas o intencionadas, tales como incendios, fugas de agua etc. A estos efectos podrán instalar detectores de incendios, extintores de incendios debidamente señalizados, armarios ignífugos para el archivo de los documentos etc. ..Arxiu manual. Ubicació i mesures de seguretat. Espai tancat amb clau? Armaris amb claus? Es fan servir? La ubicació. S’han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries per garantir la seguretat de les dades. Aquestes mesures són pels fitxers manuals i els automatitzats. La importància de la ubicació del fitxer manual ve donada per la possibilitat d’accés que poden tenir persones no autoritzades. Per aquesta raó situar aquests fitxers en sales aïllades i tancades amb clau són les mesures òptimes, malgrat que no són les més funcionals i sovint possibles. Altres opcions són situar aquests fitxers


Lluís Álvarez

52

en les mateixes sales de treball, en els centres en secretaria o direcció, en un servei educatiu en la sala on són les taules de treball, despatxos. Una de les opcions funcionals (còmodes) que es fa servir en alguns serveis, EAP, és situar aquests fitxers en els mateixos centres on estan estudiant els alumnes. Cal tenir en compte que: . el responsable del fitxer és el director del servei, EAP, malgrat no tenir cap control d’aquests expedients, . que aquests expedients no es dipositen en les sales reservades als arxius del centre i les mesures de seguretat són relativament baixes (es poden deixar en un armari tancat dins l’aula d’educació especial, o en l’espai que fa servir el professional de l’EAP en el centre, que sovint és un espai compartit) Una altra mesura fàcil i important és tancar els armaris arxivadors amb les claus que sempre tenen. Aquesta mesura s’hauria d’utilitzar regularment, diàriament. LOPD. Article 9 Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. (Dades especialment protegides). ..Accés. Qui té dret? L’accés a les dades és una de les claus de tota la normativa sobre protecció de dades. Aquestes normes han de remarcar que l’interessat té uns drets sobre les seves pròpies dades, com és el d’accés, però també ha de delimitar qui no té aquest dret. Tot això està en diversos articles de la LOPD i en el Reial Decret 994/1999 Sobre el dret d’accés de l’interessat: LOPD Article 4, 6. Les dades de caràcter personal han de ser emmagatzemades de manera que permetin l’exercici del dret d’accés, llevat que siguin legalment cancel·lades. Article 5, 1. Els interessats als quals se sol·licitin dades personals han de ser prèviament informats de manera expressa, precisa i inequívoca: d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició. Article 15 Dret d’accés 1. L’interessat té dret a sol·licitar i obtenir gratuïtament informació de les seves dades de caràcter personal sotmeses a tractament, l’origen de les dades i les comunicacions efectuades o que es prevegin fer. 2. La informació es pot obtenir mitjançant la mera consulta de les dades per mitjà de la visualització, o la indicació de les dades que són objecte de tractament mitjançant escrit, còpia, telecòpia o fotocòpia, certificada o no, en forma llegible i intel·ligible, sense utilitzar claus o codis que requereixin l’ús de dispositius mecànics específics.


Lluís Álvarez

53

3. El dret d’accés a què es refereix aquest article només pot ser exercit a intervals no inferiors a dotze mesos, llevat que l’interessat acrediti un interès legítim a aquest efecte, cas en què el poden exercir abans. Article 18 Tutela dels drets 2. L’interessat al qual es denegui, totalment o parcialment, l’exercici dels drets d’oposició, accés, rectificació o cancel·lació, ho pot posar en coneixement de l’Agència de Protecció de Dades o, si s’escau, de l’organisme competent de cada comunitat autònoma, que s’ha d’assegurar de la procedència o la improcedència de la denegació. Article 44 Tipus d’infraccions 1. Les infraccions es qualifiquen de lleus, greus o molt greus. 3. Són infraccions greus: e) Impedir o obstaculitzar l’exercici dels drets d’accés i oposició i la negativa a facilitar la informació que sigui sol·licitada. 4. Són infraccions molt greus: h) No atendre o obstaculitzar de manera sistemàtica l’exercici dels drets d’accés, rectificació, cancel·lació o oposició. Únicament tenen dret d’accés a les dades de caràcter personal les persones autoritzades que són les que per la seva funció han de treballar necessàriament amb elles. La normativa sobre les mesures de seguretat dels fitxers automatitzats és bastant restrictiva i demana uns procediments estrictes. LOPD Article 9. Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 5 Accés a dades per mitjà de xarxes de comunicacions Les mesures de seguretat exigibles als accessos a dades de caràcter personal per mitjà de xarxes de comunicacions han de garantir un nivell de seguretat equivalent al corresponent als accessos de manera local. Article 11 Identificació autenticació 1. El responsable del fitxer s’encarrega que hi hagi una relació actualitzada d’usuaris que tinguin accés autoritzat al sistema d’informació i d’establir procediments d’identificació i autenticació per a aquest accés. Article 12 Control d’accés 1. Els usuaris tenen accés autoritzat únicament a les dades i els recursos que requereixin per a l’exercici de les seves funcions. 2. El responsable del fitxer ha d’establir mecanismes per evitar que un usuari pugui accedir a dades o recursos amb drets diferents dels autoritzats. 3. La relació d’usuaris a què es refereix l’article 11.1 d’aquest Reglament ha de contenir l’accés autoritzat per a cadascun d’ells. 4. Exclusivament el personal autoritzat per fer-ho en el document de seguretat pot concedir, alterar o anul·lar l’accés autoritzat sobre les dades i els recursos, d’acord amb els criteris que estableixi el responsable del fitxer.


Lluís Álvarez

54

Article 18 Identificació i autenticació 1. El responsable del fitxer estableix un mecanisme que permeti la identificació de manera inequívoca i personalitzada de tots els usuaris que intentin accedir al sistema d’informació i la verificació que està autoritzat. 2. Es limita la possibilitat d’intentar reiteradament l’accés no autoritzat al sistema d’informació. Article 19 Control d’accés físic Exclusivament el personal autoritzat en el document de seguretat pot tenir accés als locals on es trobin ubicats els sistemes d’informació amb dades de caràcter personal. ..Hi ha arxius d’informes, dades d’alumn@s, etc, als ordinadors de sobretaula? La dificultat de la qüestió és l’accés. Són accessibles a tothom? Qui té accés als locals del centre/servei? Veure l’apartat sobre el dret d’accés a les dades. L'ús que es fa dels sistemes d'informació del centre/servei es pot regular per normativa interna. Veure el Document de Seguretat. ..Caducitat de dades, informes i expedients. Els alumn@s varien, no sempre són iguals. Quan es fa un informe o es valora un alumn@ amb unes ne i amb el temps canvien aquestes necessitats, que fem? Quina política teniu amb els expedients dels alumn@s que han marxat dels centres (més de 18 anys)? La caducitat de les dades la dona la raó per a la qual es van recollir: si tenien una finalitat i aquesta ja es va complir i no hi ha altres raons per conservar-les, es poden dissociar o destruir. Els informes acadèmics, notes, avaluacions, etc.., d’un alumn@ es poden conservar tota l’escolaritat, ja que la seva finalitat no és únicament informar als pares, també han de servir per avaluar cicles o etapes. Algunes valoracions més de tipus psicopedagògic poden perdre la seva vigència en el moment que canvia de cicle o etapa o simplement la situació familiar. Informes de comportaments conductuals a partir de situacions extremes de caire social-familiar, poden variar si aquestes situacions varien. Totes les orientacions aportades en aquest tipus d’informe perden la seva vigència i no hi ha raons per conservar-los. Igual passa en altres informes. La normativa diu: LOPD, 15/1999, Principis de la protecció de dades. Article 4 Qualitat de les dades 3. Les dades de caràcter personal han de ser exactes i posades al dia de manera que responguin amb veracitat a la situació actual de l’afectat. 4. Si les dades de caràcter personal registrades són inexactes, en tot o en part, o incompletes, han de ser cancel·lades i substituïdes d’ofici per les dades corresponents rectificades o completades, sens perjudici de les facultats que l’article 16 reconeix als afectats. 5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades.


Lluís Álvarez

55

En relació al temps que s’han de conservar els expedients val la pena considerar el següent: L’Agencia de Protección de Datos de la Comunidad de Madrid, a la “Recomendación 2/2004 de 30 de julio” sobre la protecció de dades a les històries clíniques no informatitzades, diu que aquestes històries són actives en el moment que es donen d’alta i durant un període mínim de 5 anys a comptar de la darrera actuació i que, aleshores, passen a ser passives durant el temps legalment exigible, a efectes judicials de conformitat amb la legislació vigent. Aquesta és una opció factible vàlida orientada per l’auditoria de l’APDCAT. Aquesta recomanació es podria aplicar als expedients dels alumn@s dels serveis educatius.


Lluís Álvarez

56

8. 9.- ..Ordinadors, pen-drivers, cd, diskettes, etc… ..Per elaborar la informació, quin maquinari fem servir? ..Ordinador general. Quines mesures de seguretat teniu? Talla-focs activat? Antivirus actualitzat? Es revisa regularment (15 dies) l’arrel de HD o l’escriptori pels arxius despistats? ..Ordinador sobretaula. Qui té accés? ..Mesures de seguretat: A on es guarden els disquets, cd gravats, enregistraments orals, vídeo, etc...? Estan tancats? Claus a l’armari? ..Quines mesures de seguretat teniu amb l’ordinador portàtil?. Feu servir Wireless? ..Procediments amb el pen driver. Algun programa que codifiqui el contingut o que demani una clau per accedir-hi? ..Has canviat la contrasenya de l'ordinador ? Als ordinadors, quina política de passwords teniu? ..Quin és el contingut del disc dur? ..Quina política de backups, còpies de seguretat, de disc dur teniu? ..Quina política de gestió de suports, de còpies en cd, disquets, etc.., teniu? (Etiquetes, inventari, ubicació…) ..Hi ha algun procediment de destrucció de cd? ..Per elaborar la informació, quin maquinari fem servir? Normalment es treballa amb ordinadors, però si és possible hem d’utilitzar els nostres: els dels locals de treball o el portàtil. ..Ordinador general. Quines mesures de seguretat teniu? Talla-focs activat? Antivirus actualitzat? Es revisa regularment (15 dies) l’arrel de HD o l’escriptori pels arxius despistats? Aquest ordinador és el que normalment té el fitxer automatitzat amb dades de caràcter personal. Cal observar la normativa. El document de seguretat ha de recollir aquestes mesures. Resulta normal fer servir claus d’accés als ordinadors amb dades de caràcter personal i per pura prevenció cal tenir un antivirus actualitzat igual que fer servir el firewall (tallafocs). El responsable d’informàtica hauria d’assegurar-se que les consignes recollides al document de seguretat s'estan complint, per això ha de revisar periòdicament els ordinadors d’ús comú per detectar errades de seguretat, com és deixar documents en l’escriptori o en l’arrel del disc dur, i obrir les incidències pertinents. Veure la normativa: LOPD, Article 9 Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural.


Lluís Álvarez

57

2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. Observar tot el Reial Decret 994/1999: reglament de mesures de seguretat dels fitxers automatitzats que continguin dades de caràcter personal ..Ordinador sobretaula. Qui té accés? Veure l’apartat sobre dret d’accés a les dades. ..Mesures de seguretat: A on es guarden els disquets, cd gravats, enregistraments orals, vídeo, etc...? Estan tancats? Claus a l’armari? Les dades copiades en cd o disquets, les observacions filmades o els enregistraments orals efectuats (base d'observacions) han de rebre un tractament similar al mateix fitxer. Aquestes mesures les podeu veure a l'article 9 de la LOPD i a tot el RD 994/1999. LOPD, Article 9 Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Les mesures adoptades cal recollir-les al Document de Seguretat ..Quines mesures de seguretat teniu amb l’ordinador portàtil?. Feu servir Wireless? Les mateixes mesures de seguretat dels ordinadors generals s’han de prendre als portàtils si contenen fitxers amb dades de caràcter personal. En cas de fer servir connexió sense fils, wireless, caldrà implementar mesures ajustades a aquesta característica, amb limitacions més restrictives en l’accés des de xarxes externes. Totes aquestes mesures s’han de recollir al document de seguretat.


Lluís Álvarez

58

..Procediments amb el pen driver. Algun programa que codifiqui el contingut o que demani una clau per accedir-hi? Si el pen-driver conté fitxers amb dades de caràcter personal, la mateixa normativa que s’aplica als fitxers automatitzats caldria aplicar a aquests enginys. En funció del tipus de dades caldran unes mesures més restrictives o no. El Departament d’Ed va lliurar un programa que pot codificar el contingut dels pen-drivers. Simplement, es podria fer servir i aquest risc no existiria. LOPD, Article 9 Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Les mesures adoptades han d'estar recollides al Document de Seguretat ..Has canviat la contrasenya de l'ordinador? Als ordinadors, quina política de passwords teniu? Sovint el procediment d’identificació i autenticació establert per accedir als ordinadors es basa en contrasenyes. El RMS ha de recollir que aquestes contrasenyes s'han de canviar periòdicament. La normativa recull aquesta informació a: LOPD, Article 9 Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural. 2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes. 3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei. (Dades especialment protegides)


Lluís Álvarez

59

994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 5 Accés a dades per mitjà de xarxes de comunicacions Les mesures de seguretat exigibles als accessos a dades de caràcter personal per mitjà de xarxes de comunicacions han de garantir un nivell de seguretat equivalent al corresponent als accessos de manera local. CAPÍTOL II Mesures de seguretat de nivell bàsic Article 8 Document de seguretat 1. El responsable del fitxer ha d’elaborar i implantar la normativa de seguretat mitjançant un document de compliment obligatori per al personal amb accés a les dades automatitzades de caràcter personal i als sistemes d’informació. Article 11 Identificació i autenticació 1. El responsable del fitxer s’encarrega que hi hagi una relació actualitzada d’usuaris que tinguin accés autoritzat al sistema d’informació i d’establir procediments d’identificació i autenticació per a aquest accés. 2. Si el mecanisme d’autenticació es basa en l’existència de contrasenyes, hi ha d’haver un procediment d’assignació, distribució i emmagatzemament que en garanteixi la confidencialitat i la integritat. 3. Les contrasenyes s’han de canviar amb la periodicitat que determini el document de seguretat i mentre estiguin vigents s’han d’emmagatzemar de manera inintel·ligible. ..Quin és el contingut del disc dur? D’entrada no ha d’haver cap problema en relació al contingut emmagatzemat al disc dur de l’ordinador, tant si és portàtil com als de sobretaula. En funció del tipus de dades, caldrà implementar unes mesures determinades. Consulteu les mesures de seguretat als ordinadors de sobretaula o portàtils. ..Quina política de backups, còpies de seguretat, de disc dur teniu? La normativa diu que als ordinadors que tinguin fitxers amb dades de caràcter personal, cal establir uns procediments per fer còpies de seguretat i de recuperació de dades de forma regular, de com a mínim un cop a la setmana. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 14 Còpia de seguretat i recuperació 1. El responsable de fitxer s’encarrega de verificar la definició i l’aplicació correcta dels procediments de realització de còpies de seguretat i de recuperació de les dades. 2. Els procediments establerts per fer còpies de seguretat i per recuperar les dades han de garantir-ne la reconstrucció en l’estat en què estaven en el moment de produir-se la pèrdua o la destrucció. 3. S’han de fer còpies de seguretat com a mínim setmanalment, llevat que en aquest període no s’hagi produït cap actualització de les dades.


Lluís Álvarez

60

..Quina política de gestió de suports, de còpies en cd, disquets, etc.., teniu? (Etiquetes, inventari, ubicació…) Si fem còpies en cd, o disc dur, pen-driver, etc… de fitxers amb dades de caràcter personal, aquest suport ha de permetre la identificació del que contenen, s’han d’inventariar i emmagatzemar de forma adient. La sortida de suports informàtics amb aquest contingut dels locals on estigui ubicat el fitxer ha de ser autoritzada pel responsable del fitxer. Novament, cal generar procediments que es poden recollir en el RMS. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal Article 13 Gestió de suports 1. Els suports informàtics que continguin dades de caràcter personal han de permetre d’identificar el tipus d’informació que contenen, ser inventariats i emmagatzemar-se en un lloc amb accés restringit al personal autoritzat per fer-ho en el document de seguretat. 2. La sortida de suports informàtics que continguin dades de caràcter personal, fora dels locals en què estigui ubicat el fitxer, només pot ser autoritzada pel responsable del fitxer. ..Hi ha algun procediment de destrucció de cd? Per destruir els cd amb còpies de dades de caràcter personal cal tenir algun procediment eficaç. Hi ha destructores de paper que admeten també els cd, però són cares. Una forma fàcil i correcta és tallar-los amb unes tisores prou fortes.


Lluís Álvarez

61

8. 10.- ..Telecomunicacions: Fax, email, telèfon, correu, etc… ..Telecomunicació de dades: email, fax. Per comunicar informació a un altre servei o centre feu servir internet? Com envieu la informació? ..Previ al lliurament o recollida de dades: correu, email, fax… Es comunica les condicions necessàries per garantir que ens arribi bé? ..Posterior a la recollida de dades: correu, fax, trucada telefònica, emails... Què fem amb aquestes dades? ..Telecomunicació de dades: email, fax. Per comunicar informació a un altre servei o centre feu servir internet? Com envieu la informació? No hi ha cap problema en la transmissió de dades a través d’internet. Únicament es contempla la necessitat de xifrar les dades en les transmissions de fitxers automatitzats d’alt nivell. 994/1999 Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin dades de caràcter personal CAPÍTOL IV Mesures de seguretat de nivell alt Article 26 Telecomunicacions La transmissió de dades de caràcter personal per mitjà de xarxes de telecomunicacions s’ha de fer xifrant les dades esmentades o bé utilitzant qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers. Malgrat això, val la pena implementar procediments per a la transmissió i recepció de dades de caràcter personal quan fem servir internet (email, ftp, …), fax o correus. ..Previ al lliurament o recollida de dades: correu, email, fax… Es comunica les condicions necessàries per garantir que ens arribi bé? És convenient establir uns procediments que ajudin tant a la persona que ens envia les dades com a la que les rep. Previ al lliurament o la recepció, que sempre són cessions de dades, convé acordar com es lliuren, correu certificat, fax o email i avisar telefònicament de quan i que s’envia. Si som nosaltres els que rebem la informació ens interessa contactar amb el lliurador per acordar les condicions de la cessió. Si es fa per correu, millor sempre que sigui certificat i a nom de la persona a la que es lliura. Si s’envia per fax, convé tenir caràtules amb advertiment del tipus de dades que conté el fax i de les responsabilitats associades a l’ús de la informació que es lliura. Això ajuda per si aquesta informació va a parar a mans de qui no tocava. Aquestes caràtules han d’indicar a quina persona es lliura, de part de qui i quin és el tipus de contingut del fax. Si es fa servir el correu electrònic, convé enviar la informació adjunta al cos del missatge i en format pdf, indicant a l’apartat destinatari el nom de la persona a qui es lliura.


Lluís Álvarez

62

..Posterior a la recollida de dades: correu, fax, trucada telefònica, emails... Què fem amb aquestes dades? Aquesta informació es pot arxivar, destruir, etc… En cas que la decisió sigui la destrucció cal fer servir procediments adequats, destructora de documents. Si s’arxiva cal tenir sempre present considerar si les dades són necessàries i pertinents, veure normativa a sota. Aquestes actuacions no poden ajornar-se indefinidament, final de curs o trimestre. No convé deixar les bústies electròniques plenes d’informació personal, les hem de buidar el més aviat possible. Igual amb els contestadors automàtics, etc.. La informació recollida del telèfon també ha de ser objecte d’un procediment adequat: s'ha d’arxivar o destruir si conté dades de caràcter personal. No convé tampoc mantenir-la per molt temps a les agendes o dietaris. LOPD, Principis de la protecció de dades. Article 4 Qualitat de les dades 5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades.


Lluís Álvarez

63

9.- GLOSSARI Accessos autoritzats Autoritzacions concedides a un usuari per a la utilització dels diversos recursos. Afectat o interessat Persona física titular de les dades que siguin objecte del tractament a què es refereix la definició del terme Tractament de dades d’aquest glossari. Autenticació Procediment de comprovació de la identitat d’un usuari. Base de dades Conjunt d'informació emmagatzemada en un suport llegible per ordinador i estructurada en registres i camps. Bloqueig de dades Procediment d’identificació i reserva de dades amb finalitat d’impedir el seu tractament. Cessió o comunicació de dades Qualsevol revelació de dades efectuada a una persona diferent de l’interessat. Consentiment de l’interessat Qualsevol manifestació de la voluntat, lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixen. Contrasenya Informació confidencial, sovint constituïda per una cadena de caràcters, que es pot fer servir en l'autenticació d’un usuari. Control d’accés Mecanisme que en funció de la identificació ja autenticada permet d'accedir a dades o recursos. Còpia de seguretat Còpia de les dades d’un fitxer automatitzat en un suport que en possibiliti la recuperació. Custòdia Acció de guardar, conservar, tenir cura. Dades de caràcter personal Qualsevol informació referent a persones físiques identificades o identificables. Dipòsit Acció de dipositar. Posar les dades en lloc segur, en mans segures, durant un temps més o menys llarg.


Lluís Álvarez

64

Encarregat del tractament La persona física o jurídica, l’autoritat pública, el servei o qualsevol altre organisme que, sol o conjuntament amb altres, tracti dades personals per compte del responsable del tractament. Fitxer Qualsevol conjunt organitzat de dades de caràcter personal, sigui quina sigui la forma o la modalitat de creació, emmagatzematge, organització i accés. Fonts accessibles al públic Els fitxers que poden ser consultats per qualsevol persona, sense que ho impedeixi una norma limitativa o sense altra exigència que, si s’escau, l’abonament d’una contraprestació. Només es consideren fonts d’accés públic el cens promocional, els repertoris telefònics en els termes que preveu la normativa específica i les llistes de persones que pertanyen a grups de professionals que continguin únicament les dades de nom, títol, professió, activitat, grau acadèmic, direcció i indicació de la seva pertinença al grup. Així mateix, tenen el caràcter de fonts d’accés públic els diaris i els butlletins oficials i els mitjans de comunicació. Identificació Procediment de reconeixement de la identitat d’un usuari. Incidència Qualsevol anomalia que afecta o pot afectar la seguretat de les dades. Procediment de dissociació Qualsevol tractament de dades personals de manera que la informació que s’obtingui no es pugui associar a una persona identificada o identificable. Recurs Qualsevol part component d’un sistema d’informació. Responsable de seguretat Persona o persones a les quals el responsable del fitxer ha assignat formalment la funció de coordinar i controlar les mesures de seguretat aplicables. Responsable del fitxer o tractament Persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que decideixi sobre la finalitat, el contingut i l’ús del tractament. Sistemes d’informació Conjunt de fitxers automatitzats, programes, suports i equips utilitzats per emmagatzemar i tractar dades de caràcter personal. Suport Objecte físic susceptible de ser tractat en un sistema d'informació i sobre el qual es pot gravar o del qual es poden recuperar dades. Tractament de dades Les operacions i els procediments tècnics de caràcter automatitzat o no, que permetin recollir, gravar, conservar, elaborar, modificar, bloquejar i cancel·lar, així com les cessions de dades que derivin de comunicacions, consultes, interconnexions i transferències.


Lluís Álvarez

65

Transferència de dades El transport de dades entre sistemes informàtics per qualsevol mitjà de transmissió, això com el transport de suports de dades per correu o per qualsevol altre mitjà convencional. Usuari Subjecte o procés autoritzat per accedir a dades o recursos.


Lluís Álvarez

66

10.- NORMATIVA .Normativa Catalana .Normativa Estatal .Normativa Europea .Altres referents legals Normativa Catalana .Llei 5/2002, de 19 d’abril, de l'Agència Catalana de Protecció de Dades (DOGC núm. 3625, pàg. 7351, de 29.4.2002). Creació de l'Agència. .Decret 48/2003, de 20 de febrer, pel qual s'aprova l'Estatut de l'Agència Catalana de Protecció de Dades (DOGC núm. 3835, pàg. 4483, de 4.3.2003) .Estatut d'Autonomia de Catalunya: articles relatius a la protecció de dades. Veure al final d’aquest apartat, pàgina 68. Normativa Estatal, són les lleis bàsiques. .LOPD Llei Orgànica de Protecció de Dades, 15/1999, de 13 de desembre, (BOE núm. 298, de 14.12.1999, edició catalana en el suplement núm. 17, de 30.12.1999) .Reial Decret 994/1999, d’11 de juny, pel qual s'aprova el Reglament de Mesures de Seguretat dels fitxers automatitzats que continguin dades de caràcter personal (BOE núm. 151, de 25.6.1999, edició catalana en el suplement núm. 11, de 24.7.1999). Normativa Europea .Directiva 95/46/CE del Parlament Europeu i del Consell de 24 d’octubre de 1995 relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades Article 3. Àmbit d’aplicació 1. Les disposicions d’aquesta Directiva s’apliquen al tractament totalment o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals incloses o destinades a ser incloses en un fitxer. .Directiva 2002/58/CE del Parlament Europeu i del Consell de 12 de juliol de 2002 relativa al tractament de les dades personals i a la protecció de la intimitat en el sector de les comunicacions electròniques (Directiva sobre la privadesa i les comunicacions electròniques) Article 1. Àmbit d’aplicació i objectiu 1. Aquesta Directiva harmonitza les disposicions dels Estats membres necessàries per garantir un nivell equivalent de protecció de les llibertats i dels drets fonamentals i, en particular, del dret a la intimitat, pel que fa al tractament de les dades personals en el sector de les comunicacions electròniques, així com la lliure circulació d’aquestes dades i dels equips i serveis de comunicacions electròniques a la Comunitat.


Lluís Álvarez

67

.Conveni 108/1981 del Consell d'Europa, per a la protecció de les persones en relació amb el tractament automatitzat de dades de caràcter personal (BOE núm. 274, de 15.11.1985) Art. 1. Objeto y fin El fin del presente Convenio es garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»). Altres referents legals Es fa referència al tema a la Declaració Universal dels drets humans: ONU 1948 (ratificada en 1950 pel govern d’Espanya) Article 12. Ningú no serà objecte d'intromissions arbitràries en la seva vida privada, la seva família, el seu domicili o la seva correspondència, ni d'atacs al seu honor i reputació. Tothom té dret a la protecció de la llei contra tals intromissions o atacs.. La Constitució Espanyola de 1978 a l'article 18: 1. Garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. Inviolabilidad del domicilio 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos LORTAD 1992 (Llei prèvia a la LOPD, actualment derogada) Artículo 1. Objeto. La presente Ley Orgánica, en desarrollo de lo previsto en el apartado 4 del artículo 18 de la Constitución, tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos Real Decreto 1332/94 por el que se desarrollan determinados aspectos de la L.O. 5/1992 (LORTAD). - Transferencias internacionales de datos - Notificación e inscripción de ficheros - Ejercicio y tutela de los derechos del afectado - Procedimiento sancionador Reglamento CE 45/2001del Parlamento Europeo y del Consejo de 18 de Dic. de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico. Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.


Lluís Álvarez

68

Estatut d'Autonomia de Catalunya: articles relatius a la protecció de dades. Article 31. Dret a la protecció de dades personals. Totes les persones tenen dret a la protecció de les dades personals contingudes en els fitxers que són competència de la Generalitat i tenen dret a accedir-hi, examinar-les i obtenir-ne la correcció. Una autoritat independent, designada pel Parlament, ha de vetllar perquè aquests drets siguin respectats, en els termes que estableixen les lleis. Article 156. Protecció de dades de caràcter personal. Correspon a la Generalitat la competència executiva en matèria de protecció de dades de caràcter personal que, respectant les garanties dels drets fonamentals en aquesta matèria, inclou en tot cas: a). La inscripció i el control dels fitxers o els tractaments de dades de caràcter personal creats o gestionats per les institucions públiques de Catalunya, l'Administració de la Generalitat, les administracions locals de Catalunya, les entitats autònomes i les altres entitats de dret públic o privat que depenen de les administracions autonòmica o locals o que presten serveis o acompleixen activitats per compte propi per mitjà de qualsevol forma de gestió directa o indirecta, i les universitats que integren el sistema universitari català. b). La inscripció i el control dels fitxers o els tractaments de dades de caràcter personal privats creats o gestionats per persones físiques o jurídiques per a l'exercici de les funcions públiques amb relació a matèries que són competència de la Generalitat o dels ens locals de Catalunya, si el tractament s'efectua a Catalunya. c). La inscripció i el control dels fitxers i els tractaments de dades que creïn o gestionin les corporacions de dret públic que exerceixin llurs funcions exclusivament en l'àmbit territorial de Catalunya. d). La constitució d'una autoritat independent, designada pel Parlament, que vetlli per garantir el dret a la protecció de les dades personals en l'àmbit de les competències de la Generalitat.


Lluís Álvarez

69

11.- ADRECES D’INTERÈS

Agència Catalana de Protecció de Dades

http://www.apdcat.net/

Biblioteca de l'Agència Catalana de Protecció de Dades

http://www.cbuc.es/institucions/apdcat/apdcatcatalan.html

Agencia Española de Protección de Datos

https://www.agpd.es/index.php

Agencia de Protección de Datos de la Comunidad de Madrid

http://www.madrid.org/apdcm

Datuak Bavesteko Euskal Bulegoa, Agencia Vasca de Protección de Datos

http://www.avpd.euskadi.net/s04-5213/es/

Agraïments He d'agrair a moltes persones i institucions l'ajut i recolzament que m'han donat durant tot aquest any. Una mostra són aquests centres col·laboradors que han participat en el projecte, però són moltíssimes més les persones que de forma totalment desinteressada han aportat tota mena de materials, idees, etc.. A totes i tots, moltes gràcies

CRP Montmeló EAP Montmeló ELIC Vallès Oriental CRP Granollers EAP Granollers EAP Vall de Tenes CRP Sant Celoni EAP Sant Celoni ELIC Vic

CRP Vic EAP Vic CREDA Comarques I CEIP

EAP Lleida 2 CREC Ramona Calvet i Picas, Castellterçol

CEIP Miquel Martí i Pol, Lliçà d'Amunt

IES Montornès, Montornès de Vallès

IES Carrasco i Formiguera, Sant Feliu de Codines

IES La Vall del Tenes, Santa Euliàlia de Ronçana Donostiako Berritzegunea EOEP Centro-Arganzuela

Comunidad de Madrid

Consell Comarcal Vallès Oriental APD C.Madrid

Assessoria Jurídica Serveis Centrals, Departament

d'Educació Manel Sánchez Cano APDCAT Ramon Coma i Dosrius

Informació actualitzada a 31 d’agost de 2007. [email protected]


Lluís Álvarez

70

ANNEX 1 12.- DOCUMENT DE SEGURETAT ……………………… (nom del responsable del fitxer) En compliment de la Llei 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal (LOPD) i del Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin Dades de Caràcter Personal, aprovat pel Reial Decret 994/1999, d'11 de juny, i considerant la qualitat de les dades que gestiona aquest Servei Educatiu/Centre acorda elaborar el següent document de seguretat per protegir aquestes dades. El contingut principal d’aquest document queda estructurat així: I Àmbit d’aplicació del document II Mesures, normes, procediments, regles adreçades a garantir els nivells de seguretat exigits en aquest document. III Procediment general d’informació al personal. IV Funcions i obligacions del personal. V Procediment de notificació, gestió i respostes davant les incidències. VI Procediments de revisió. VII Conseqüències de l’incompliment del Document de Seguretat. Annex I Aspectes específics relatius als diferents fitxers. Annex Ia Aspectes relatius al fitxer ..XXX Annex Ib Aspectes relatius al fitxer ..XXX Annex II Nomenaments. Annex III Autoritzacions signades per a la sortida o recuperació de dades. Annex IV Inventari de suports. Annex V Registre d’incidències. Annex VI Registre d’entrada i sortida de suports Aquest document ha d’actualitzar-se regularment. Qualsevol modificació rellevant als sistemes d’informació automatitzats o no, en l’organització d’aquests, o en les disposicions vigents en matèria de seguretat de les dades de caràcter personal comportarà la revisió de la normativa i, si procedeix, la seva modificació total o parcial I Àmbit d’aplicació del document Aquest document s’aplicarà als fitxers que continguin dades de caràcter personal que estiguin sota la responsabilitat d’en: “Responsable fitxer”, tot incloent els sistemes d’informació, suports i equips utilitzats pel tractament de dades de caràcter personal, que hagin d’ésser protegits d’acord a les disposicions de la normativa vigent, les persones que intervenen en el tractament i els locals en els que s’ubiquen. Les mesures de seguretat es classifiquen en tres nivells acumulatius (bàsic, mig i alt) atenen a la naturalesa de la informació tractada, en relació amb la menor o major necessitat de garantir la confidencialitat i la integritat de la informació. Nivell bàsic: S’aplicarà als fitxers amb dades de caràcter personal Nivell mig: Fitxers amb dades relatives a la comissió d’infraccions administratives i penals, d’hisenda pública, de serveis financers (de solvència i de crèdit).


Lluís Álvarez

71

Nivell alt: Fitxers que continguin dades d’ideologia, religió, creences, origen racial, salut o vida sexual o dades recaptades amb finalitats policíaques. Els fitxers subjectes a les mesures de seguretat establertes en aquest document, amb indicació del nivell de seguretat corresponent, són els següents: Manuals: ..XXX, nivell alt Electrònics: ..XXX, nivell bàsic En l’annex I es descriu detalladament cadascun dels fitxers o tractament i els aspectes que els afecten de manera particular. II Mesures, normes, procediments, regles adreçades a garantir els nivells de seguretat exigits en aquest document. Mesures i normes relatives a la identificació i autentificació del personal autoritzat a accedir a les dades personals. Únicament podran accedir als fitxers les persones a autoritzades del servei /centre. L’accés als fitxers electrònics es farà mitjançant un nom d’usuari i una contrasenya. Aquesta la canviarà cada 15 dies el coordinador d’informàtica (coord de seguretat), dipositant-les en el llibre de registre. Les contrasenyes sempre seran seqüències alfanumèriques de com a mínim 7 dígits. Aquestes cadenes alfanumèriques seran totalment aleatòries. Control d’accés. El personal autoritzat únicament accedirà a les dades i recursos que precisi pel desenvolupament de les seves funcions. Exclusivament el responsable de seguretat (coor informàtica en serveis ed.) està autoritzat per concedir, alterar o anular l’accés autoritzat a les dades i als recursos. L’ingrés en el servei comportarà el procés formació i d’autorització. A l’annex I, hi ha la relació d’usuaris actualitzada amb accés autoritzat. Aquesta llista s’actualitzarà en el moment que es produeixi algun canvi en el servei / centre. Gestió de suports. Els suports que continguin dades de caràcter personal han de ser etiquetats per permetre la seva identificació, inventariat i emmagatzemats en l’armari del director del servei o coordinador de seguretat. Els suports informàtics es guardaran d’acord amb les següents normes: Tots, cds, disketes, etc…, s’etiquetaran o s’escriurà directament sobre el suport (cd) indicant el nom de fitxer i la data d’enregistrament. Aquests suports s’inventariaran en l’annex IV, inventari de suports d’aquest document de seguretat i es dispositaran el l’armari del coordinador de seguretat. En cap moment es contempla la sortida dels locals d’aquest material. Únicament podran sortir per demanda directa del Departament d’Ensenyament. Accés a les dades a través de xarxes de comunicacions. Per accedir a les dades de caràcter personal des d’una xarxa de comunicació caldrà l’ús del nom i la contrasenya personal de la persona autoritzada, tal i com es fa en l’accés des del mateix ordinador.


Lluís Álvarez

72

Règim de treball fora dels locals de la ubicació dels fitxers. El treball amb dades de caràcter personal fora dels locals de la ubicació dels fitxers haurà d'ésser autoritzat expressament pel responsable del fitxer i també caldrà garantir-se el nivell de seguretat del tipus de fitxer. Per demanar l’autorització caldrà omplir el formulari AA , annex III, i aquest haurà d’estar signat pel responsable del fitxer.. Fitxers temporals. Aquests fitxers han de tenir el nivell de seguretat corresponent a les dades que continguin, explicat en l’apartat II d’aquest document, i han d’esborrar-se en el moment que no siguin necessari pels fins que es van crear. Còpies de seguretat. És obligatori fer copies de seguretat dels fitxers automatitzat que continguin dades de caràcter personal. Per aquesta raó a l’Annex I es detallen els procediments de còpia i recuperació de cada fitxer. III Procediment general d’informació al personal. Les funcions i obligacions de cadascuna de les persones amb accés a les dades de caràcter personal i als sistemes d’informació estan definides de forma general en el capítol següent i de forma específica per a cada fitxer en la part de l’Annex I corresponent. Per assegurar-se que totes les persones coneixen les normes de seguretat que afecten al desenvolupament de les seves funcions així com les conseqüències del seu incompliment, seran informades d’acord amb el següent procediment: A l’ingrés en el servei/centre el coordinador de seguretat instruirà els instruirà, lliurant al final d’aquest període un dossier amb totes les indicacions. El personal nou a la recepció d’aquest material haurà de signar un rebut conforme a estat instruït i rep el material. Per indicar els canvis de contrasenya es farà servir la reunió d’equips / claustre cicle. IV Funcions i obligacions del personal. Funcions i obligacions de caràcter general. Tothom que accedeixi a les dades de caràcter personal està obligat a conèixer i observar les mesures, normes, procediments, regles i estàndards que afecten a les funcions que desenvolupa. És obligació d’aquest personal notificar al Responsable del Fitxer les incidències de seguretat que sobre els recursos protegits coneguin, tal com recull en aquest document, més concretament el capítol V. Tothom han de mantenir el secret i la confidencialitat sobre les dades personals que coneguin en el desenvolupament de la seva feina. Coordinador/responsable de seguretat. Funcions (RMS). Persona a la que el responsable del fitxer proposa aquestes funcions Coordinar l’endegada de les mesures recollides en el document de seguretat.


Lluís Álvarez

73

Col·laborar amb el responsable del fitxer en la difusió del doc de seguretat i ajudar al seu compliment. Habilitat un llibre d’incidències, a disposició de tots els usuaris, per recollir les incidències que puguin representar un perill per a la seguretat del fitxer. Analitzar les incidències registrades, prenent les mesures oportunes en col·laboració amb el responsable del fitxer. Controla directament els mecanismes d’accés a les dades. Manuals i electròniques. Revisar periòdicament la informació de control registrada en cada accés als fitxers. (electrònics) Autoritzar per escrit l'execució dels procediments de recuperació de dades. Administrador de sistemes (coordinador d’informàtica) Proporcionar procediments relacionats amb la seguretat. Revisar periòdicament, mínim cada 15 dies, els sistemes informàtics per reubicar els arxius despistats. Desenvolupar els plans de seguretat. Gestionar els perfils d’usuaris i els accessos de cadascun. Controlar i fer el seguiment de la seguretat física i lògica de l’entorn informàtic. Promoure, en coordinació amb el responsable del fitxer, la classificació de les dades i, en coordinació amb els usuaris, la de les aplicacions. Donar suport als usuaris en matèria de seguretat. Avaluar els riscos. Implantar equips, dispositius… relacionats amb la seguretat física i lògica. Definició d’usuaris. Funcions. Persones de l’organització que participen en alguna fase del tractament de les dades. Cada usuari és responsable de la confidencialitat i custòdia de la seva contrasenya. Cada usuari serà responsable dels accessos que es facin a les dades amb la serva contrasenya. Igualment els usuaris són responsables dels accessos que facin, en el desenvolupament de la seva funció, al fitxer manual. Acabada la consulta els expedients han de deixar-se dipositats a l’armari arxivador, on han de romandre normalment. Cada usuari serà responsable de la custòdia i ús de l’ordinador assignat. Caldrà que s’asseguri que no queden documents a les impressores si ha d’absentar-se. És responsable de la custòdia de les dades amb les que treballa i ha de tenir cura en les reunions, coordinacions, etc… i de les conseqüències que poden derivar-se de les cessions no procedents. En cas d’elaborar informació fora dels locals dels serveis, no recomanat, serà totalment responsable de les conseqüències que pugui haver per una pèrdua de dades… V Procediment de notificació, gestió i respostes davant les incidències. Es consideraran com a “incidències de seguretat”, entre d’altres, qualsevol incompliment de la normativa desenvolupada en aquest Document de Seguretat, així com qualsevol anomalia que afecti o pugui afectar la seguretat de les dades de caràcter personal de “Responsable de Fitxer”. El procediment per a la notificació d’incidències serà mitjançant la comunicació escrita. Per aquestes comunicacions es faran servir fulls numerats de registre d’incidències que s’annexaran a l’annex V d’aquest document de seguretat. El coordinador de seguretat, responsable de la custòdia d’aquest document facilitarà a qui el demani fulls per registrar les incidències que considerin. Aquest mateix


Lluís Álvarez

74

comunicarà al comitè de seguretat periòdicament les incidències registrades i decidiran les mesures a implementar. En el registre d’incidències es recolliran el tipus d’incidència, el moment en què es produeix, la persona que fa la notificació i els efectes derivats d’ella. VI Procediments de revisió. Revisió del Document de Seguretat. Aquest Document de Seguretat es modificarà i/o actualitzarà a proposta del responsable del Fitxer o del comitè de seguretat. Des del comitè de seguretat s’atendrà als canvis en els sistemes d’informació o en el programari, a la normativa vigent en matèria de protecció de dades personals, a les incidències registrades i a les propostes dels usuaris per revisar i mantenir regularment actualitzat aquest Document de Seguretat. VII Conseqüències de l’incompliment del Document de Seguretat. L’incompliment de les obligacions i mesures de seguretat establertes en el present document es comunicaran a (persona del departament responsable) i aplicarà la sanció que correspongui.


Lluís Álvarez

75

Annex I Aspectes específics relatius als diferents fitxers.


Lluís Álvarez

76

Annex Ia Aspectes relatius al fitxer …Exemple… Actualitzat a: data de la darrera actualització de l’annex. Nom de fitxer o tractament: ..“Alumnes” Unitat amb accés al fitxer: Psicopedagogs/gues Identificador i nom del fitxer en el Registro General de Protección de Datos de l’Agencia Española de Protección de Datos Identificador: Nom: Descripció: Nivell de mesures de seguretat a adoptar: Alt. Responsable de seguretat: …… Administrador: Lleis o regulacions aplicables que afectin al fitxer o tractament: Codi Tipus Aplicable: Estructura del Fitxer principal: dades de tipus identificatiu, professional, acadèmiques, sobre salut, etc… Informació sobre el fitxer o tractament. .Finalitat i usos previstos: Assessorament psicopedagògic, fer el seguiment de les necessitats educatives dels alumnes. .Persones o col·lectius sobre els que es pretén obtenir o que resultin obligats a subministrar les dades personals: Alumnes amb necessitats educatives i, en determinats casos, alguns dels seus familiars. .Cessions previstes: Als centres educatius on realitzen els seus estudis. .Transferències internacionals previstes: Cap .Procedència de les dades: pares, centres educatius, professionals del sector. .Procediment de recollida: En paper a través d’entrevistes. Servei o unitat davant la que es poden exercir els drets d’accés, rectificació, cancel·lació i oposició: Comitè de seguretat del Servei edu / Centre….., Carrer ….. . Caldrà omplir aquest full….. tot indicant adreça i nº telefònic. El termini de resposta serà de …. El comitè de seguretat es reunirà la mateixa setmana de la recepció de la demanda i donarà resposta en el termini de … Descripció del sistema d’informació: Fitxer alumnes: manual. Descripció detallada de les còpies de seguretat i dels procediments de recuperació: Informació sobre la connexió amb altres sistemes: Funcions del personal amb accés a les dades personals: Psicopedagogs, encarregats de recollir, elaborar, dipositar i, en cas necessari, lliurar aquesta informació. Descripció dels procediments de control d’accés i identificació: Cal ser persona del servei / centre autoritzat pel responsable del fitxer i/o el comitè de seguretat.


Lluís Álvarez

77

Relació actualitzada d’usuaris amb accés autoritzat: Grup d’usuaris

Clau identificació

Nom i cognoms

Unitat Data d’altra Data de baixa

Psicoped XXX EAP 01/09/2003 Administr. YYY CRP 04/09/2005 … Tercers amb accés a les dades per a la prestació d’un servei:. Centres educatius? Relació d’actualització d’aquest Annex: Data, resum d’aspectes modificats i motiu


Lluís Álvarez

78

Annex Ib Aspectes relatius al fitxer …Exemple … Nom de fitxer o tractament: ..”GestEAP” Unitat amb accés al fitxer: Psicopedagogs/gues Identificador i nom del fitxer en el Registro General de Protección de Datos de l’Agencia Española de Protección de Datos Identificador: Nom: Descripció: Nivell de mesures de seguretat a adoptar: Bàsic. Responsable de seguretat: …… Administrador: Lleis o regulacions aplicables que afectin al fitxer o tractament: Codi Tipus Aplicable: Estructura del Fitxer principal: dades de tipus identificatiu. Informació sobre el fitxer o tractament: .Finalitat i usos previstos: Assessorament psicopedagògic, fer el seguiment de les necessitats educatives dels alumnes. .Persones o col·lectius sobre els que es pretén obtenir o que resultin obligats a subministrar les dades personals: Alumnes amb necessitats educatives i, en determinats casos, alguns dels seus familiars. .Cessions previstes: Als centres educatius on realitzen els seus estudis. .Transferències internacionals previstes: Cap .Procedència de les dades: pares, centres educatius, professionals del sector. .Procediment de recollida: En paper a través d’entrevistes. Servei o unitat davant la que es poden exercir els drets d’accés, rectificació, cancel·lació i oposició: Comitè de seguretat del Servei edu / Centre….., Carrer ….. . Caldrà omplir aquest full….. tot indicant adreça i nº telefònic. El termini de resposta serà de …. El comitè de seguretat es reunirà la mateixa setmana de la recepció de la demanda i donarà resposta en el termini de … Descripció del sistema d’informació: fitxer GestEAP: Ordinador S11, anomenat secretaria… Fitxer alumnes: manual. Descripció detallada de les còpies de seguretat i dels procediments de recuperació: Es fan còpies de seguretat setmanalment en un disc dur ubicat en l’ordinador Siemens. En cas de necessitat de recuperació, el programa de gestió gestEAP (SAGA) té una utilitat per recuperar les dades. Informació sobre la connexió amb altres sistemes: Funcions del personal amb accés a les dades personals: Psicopedagogs, encarregats de recollir, elaborar i dipositar. El sistema d’informació d’aquest fitxer, GestEAP, és l’ordinador S11 Descripció dels procediments de control d’accés i identificació: Per accedir al fitxer cal introduir el nom de la persona autoritzada i la seva contrasenya.


Lluís Álvarez

79

Relació actualitzada d’usuaris amb accés autoritzat: Grup d’usuaris

Clau identificació

Nom i cognoms

Unitat Data d’altra Data de baixa

Psicoped XXX EAP 01/09/2003 Administr. YYY CRP 04/09/2005 Tercers amb accés a les dades per a la prestació d’un servei: Relació d’actualització d’aquest Annex: Data, resum d’aspectes modificats i motiu


Lluís Álvarez

80

Annex II Nomenaments. Adjuntar original o còpia dels nomenaments que afectin als diferents perfils inclosos en aquest document: Responsable de seguretat Responsable de sistemes Comitè de seguretat


Lluís Álvarez

81

Annex III Autoritzacions signades per a la sortida o recuperació de dades. Adjuntar original o còpia de les autoritzacions que el responsable del Fitxer ha signat per a la sortida de suports amb dades de caràcter personal, així com aquelles relatives a l’execució dels procediments de recuperació de dades. (…Exemple …). Adjurar l’original o còpia de les autoritzacions que el responsable del Fitxer ha signat per a la sortida d’expedients amb dades de caràcter personal. (…Exemple …)


Lluís Álvarez

82

Annex IV Inventari de suports. …Exemple… Relació dels suports fets, amb indicació de la informació identificativa, el contingut i els llocs de dipòsit.


Lluís Álvarez

83

Annex V Registre d’incidències. En el registre d’incidències es recolliran el tipus d’incidència, el moment en què es produeix, la persona que fa la notificació i els efectes derivats d’ella


Lluís Álvarez

84

Annex VI Registre d’entrada i sortida de suports. Aquest document ha d’actualitzar-se regularment. Qualsevol modificació rellevant als sistemes d’informació automatitzats o no, en l’organització d’aquests, o en les disposicions vigents en matèria de seguretat de les dades de caràcter personal comportarà la revisió de la normativa i, si procedeix, la seva modificació total o parcial

A2 13.- Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal

LEGISLACIÓSOBRE

PROTECCIÓ DE DADES

Generalitat de CatalunyaAgència Catalana de Protecció de Dades

Col·lecció Quaderns de legislació, 48

39

LLEI ORGÀNICA 15/1999, DE 13 DE DESEMBRE,DE PROTECCIÓ DE DADES DE CARÀCTER PERSONAL(BOE núm. 298, de 14.12.1999, edició catalana en el suplement núm. 17,de 30.12.1999)

JUAN CARLOS IREI D’ESPANYA

A tots els qui vegeu i entengueu aquesta Llei orgànica.

Sapigueu: Que les Corts Generals han aprovat la Llei orgànica següenti jo la sanciono.

TÍTOL IDisposicions generals

Article 1Objecte

Aquesta Llei orgànica té com a objecte garantir i protegir, pel que fa altractament de les dades personals, les llibertats públiques i els drets fonamen-tals de les persones físiques, i especialment del seu honor i la seva intimi-tat personal i familiar.

Article 2Àmbit d’aplicació

1. Aquesta Llei orgànica és aplicable a les dades de caràcter personalregistrades en suport físic, que les faci susceptibles de tractament, i a qual-sevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat.

Es regeix per aquesta Llei orgànica qualsevol tractament de dades decaràcter personal:

a) Quan el tractament s’efectuï en territori espanyol, en el marc de lesactivitats d’un establiment del responsable del tractament.

b) Quan al responsable del tractament no establert en territori espanyolli sigui aplicable la legislació espanyola en aplicació de les normes de dretinternacional públic.

c) Quan el responsable del tractament no estigui establert en el territoride la Unió Europea i utilitzi en el tractament de dades mitjans situats enterritori espanyol, llevat que aquests mitjans s’utilitzin únicament amb fina-litats de trànsit.

40

2. El règim de protecció de les dades de caràcter personal que estableixaquesta Llei orgànica no és aplicable:

a) Als fitxers mantinguts per persones físiques en l’exercici d’activitatsexclusivament personals o domèstiques.

b) Als fitxers sotmesos a la normativa sobre protecció de matèries clas-sificades.

c) Als fitxers establerts per a la investigació del terrorisme i de formesgreus de delinqüència organitzada. No obstant això, en aquests supòsits elresponsable del fitxer ha de comunicar-ne prèviament l’existència, les carac-terístiques generals i la finalitat a l’Agència de Protecció de Dades.

3. Es regeixen per les seves disposicions específiques, i pel que preveuespecialment, si s’escau, aquesta Llei orgànica els tractaments de dades per-sonals següents:

a) Els fitxers regulats per la legislació de règim electoral.b) Els que serveixin a finalitats exclusivament estadístiques, i estiguin em-

parats per la legislació estatal o autonòmica sobre la funció estadística pública.c) Els que tinguin com a objecte l’emmagatzematge de les dades contin-

gudes en els informes personals de qualificació a què es refereix la legisla-ció del règim del personal de les Forces Armades.

d) Els derivats del Registre Civil i del Registre central de penats i rebels.e) Els procedents d’imatges i sons obtinguts mitjançant la utilització de

videocàmeres per les Forces i els Cossos de Seguretat, d’acord amb la legis-lació sobre la matèria.

Article 3Definicions

Als efectes d’aquesta Llei orgànica, s’entén per:a) Dades de caràcter personal: qualsevol informació referent a persones

físiques identificades o identificables.b) Fitxer: qualsevol conjunt organitzat de dades de caràcter personal,

sigui quina sigui la forma o la modalitat de creació, emmagatzematge, or-ganització i accés.

c) Tractament de dades: les operacions i els procediments tècnics de ca-ràcter automatitzat o no, que permetin recollir, gravar, conservar, elaborar,modificar, bloquejar i cancel·lar, així com les cessions de dades que derivinde comunicacions, consultes, interconnexions i transferències.

d) Responsable del fitxer o el tractament: persona física o jurídica, denaturalesa pública o privada, o òrgan administratiu, que decideixi sobre lafinalitat, el contingut i l’ús del tractament.

e) Afectat o interessat: persona física titular de les dades que siguin ob-jecte del tractament a què es refereix l’apartat c) d’aquest article.

41

f) Procediment de dissociació: qualsevol tractament de dades personalsde manera que la informació que s’obtingui no es pugui associar a una per-sona identificada o identificable.

g) Encarregat del tractament: la persona física o jurídica, l’autoritat pú-blica, el servei o qualsevol altre organisme que, sol o conjuntament ambaltres, tracti dades personals per compte del responsable del tractament.

h) Consentiment de l’interessat: qualsevol manifestació de la voluntat,lliure, inequívoca, específica i informada, mitjançant la qual l’interessat con-senti el tractament de dades personals que el concerneixen.

i) Cessió o comunicació de dades: qualsevol revelació de dades efectuadaa una persona diferent de l’interessat.

j) Fonts accessibles al públic: els fitxers que poden ser consultats perqualsevol persona, sense que ho impedeixi una norma limitativa o sense altraexigència que, si s’escau, l’abonament d’una contraprestació. Només es con-sideren fonts d’accés públic el cens promocional, els repertoris telefònics enels termes que preveu la normativa específica i les llistes de persones quepertanyen a grups de professionals que continguin únicament les dades denom, títol, professió, activitat, grau acadèmic, direcció i indicació de la sevapertinença al grup. Així mateix, tenen el caràcter de fonts d’accés públic elsdiaris i els butlletins oficials i els mitjans de comunicació.

TÍTOL IIPrincipis de la protecció de dades

Article 4Qualitat de les dades

1. Les dades de caràcter personal només es poden recollir per ser trac-tades, així com sotmetre-les a aquest tractament, quan siguin adequades,pertinents i no excessives en relació amb l’àmbit i les finalitats determina-des, explícites i legítimes per a les quals s’han obtingut.

2. Les dades de caràcter personal objecte de tractament no es poden uti-litzar per a finalitats incompatibles amb aquelles per a les quals les dadeshagin estat recollides. No es considera incompatible el tractament posteriord’aquestes dades amb finalitats històriques, estadístiques o científiques.

3. Les dades de caràcter personal han de ser exactes i posades al dia demanera que responguin amb veracitat a la situació actual de l’afectat.

4. Si les dades de caràcter personal registrades són inexactes, en tot oen part, o incompletes, han de ser cancel·lades i substituïdes d’ofici per lesdades corresponents rectificades o completades, sens perjudici de les facultatsque l’article 16 reconeix als afectats.

42

5. Les dades de caràcter personal han de ser cancel·lades quan hagindeixat de ser necessàries o pertinents per a la finalitat per a la qual han estatrecollides o registrades.

No han de ser conservades de manera que permetin identificar l’interes-sat durant un període superior al necessari per a les finalitats d’acord ambles quals hagin estat recollides o registrades.

S’ha de determinar per reglament el procediment pel qual, com a ex-cepció, atesos els valors històrics, estadístics o científics d’acord amb la le-gislació específica, es decideixi el manteniment íntegre de determinades da-des.

6. Les dades de caràcter personal han de ser emmagatzemades de ma-nera que permetin l’exercici del dret d’accés, llevat que siguin legalmentcancel·lades.

7. Es prohibeix la recollida de dades per mitjans fraudulents, deslleialso il·lícits.

Article 5Dret d’informació en la recollida de dades

1. Els interessats als quals se sol·licitin dades personals han de ser prè-viament informats de manera expressa, precisa i inequívoca:

a) De l’existència d’un fitxer o un tractament de dades de caràcter per-sonal, de la finalitat de la recollida de les dades i dels destinataris de lainformació.

b) Del caràcter obligatori o facultatiu de la resposta a les preguntes queels siguin plantejades.

c) De les conseqüències de l’obtenció de les dades o de la negativa asubministrar-les.

d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·laciói oposició.

e) De la identitat i la direcció del responsable del tractament o, si s’es-cau, del seu representant.

Quan el responsable del tractament no estigui establert en el territoride la Unió Europea i utilitzi en el tractament de dades mitjans situats enterritori espanyol, ha de designar, llevat que aquests mitjans s’utilitzin ambfinalitats de tràmit, un representant a Espanya, sens perjudici de les accionsque es puguin emprendre contra el mateix responsable del tractament.

2. Quan s’utilitzin qüestionaris o altres impresos per a la recollida, hande figurar-hi, de manera clarament llegible, les advertències a què es refe-reix l’apartat anterior.

3. No és necessària la informació a què es refereixen les lletres b), c) id) de l’apartat 1 si el contingut de la informació es dedueix clarament de la

43

naturalesa de les dades personals que se sol·liciten o de les circumstànciesen què es recullen.

4. Quan les dades de caràcter personal no hagin estat recollides de l’in-teressat, aquest ha de ser informat de manera expressa, precisa i inequívo-ca, pel responsable del fitxer o pel seu representant, dins dels tres mesossegüents al moment de registrar les dades, del contingut del tractament, dela procedència de les dades i del que preveuen les lletres a), d) i e) de l’apartat1 d’aquest article, llevat que ja n’hagi estat informat anteriorment.

5. No és aplicable el que disposa l’apartat anterior quan, de manera ex-pressa, una llei ho prevegi, quan el tractament tingui finalitats històriques,estadístiques o científiques, o quan sigui impossible informar-ne l’interessato exigeixi esforços desproporcionats, a criteri de l’Agència de Protecció deDades o de l’organisme autonòmic equivalent, en consideració al nombred’interessats, a l’antiguitat de les dades i a les possibles mesures compensa-tòries.

Així mateix, tampoc no regeix el que disposa l’apartat anterior quan lesdades procedeixin de fonts accessibles al públic i es destinin a l’activitat depublicitat o prospecció comercial; en aquest cas, en cada comunicació ques’adreci a l’interessat se l’ha d’informar de l’origen de les dades i de la iden-titat del responsable del tractament, així com dels drets que l’assisteixen.

Article 6Consentiment de l’afectat

1. El tractament de les dades de caràcter personal requereix el consen-timent inequívoc de l’afectat, llevat que la llei disposi una altra cosa.

2. No cal el consentiment quan les dades de caràcter personal es recu-llin per a l’exercici de les funcions pròpies de les administracions públiquesen l’àmbit de les seves competències; quan es refereixin a les parts d’un con-tracte o un precontracte d’una relació de negoci, laboral o administrativa isiguin necessàries per al seu manteniment o compliment; quan el tractamentde les dades tingui com a finalitat protegir un interès vital de l’interessat enels termes de l’article 7, apartat 6, d’aquest Llei, o quan les dades figurin enfonts accessibles al públic i el seu tractament sigui necessari per a la satis-facció de l’interès legítim perseguit pel responsable del fitxer o pel del ter-cer a qui es comuniquin les dades, sempre que no es vulnerin els drets i lesllibertats fonamentals de l’interessat.

3. El consentiment a què es refereix aquest article pot ser revocat quanhi hagi una causa justificada per fer-ho i no se li atribueixin efectes retro-actius.

4. En els casos en què no sigui necessari el consentiment de l’afectat peral tractament de les dades de caràcter personal, i sempre que una llei no

44

disposi el contrari, aquest pot oposar-se al seu tractament quan hi hagi mo-tius fonamentats i legítims relatius a una situació personal concreta. Enaquest supòsit, el responsable del fitxer ha d’excloure del tractament lesdades relatives a l’afectat.

Article 7Dades especialment protegides

1. D’acord amb el que estableix l’apartat 2 de l’article 16 de la Consti-tució, ningú no pot ser obligat a declarar sobre la seva ideologia, religió ocreences.

Quan en relació amb aquestes dades es procedeixi a recollir el consen-timent a què es refereix l’apartat següent, s’ha d’advertir l’interessat respecteal seu dret a no donar-lo.

2. Només amb el consentiment exprés i per escrit de l’afectat poden serobjecte de tractament les dades de caràcter personal que revelin la ideologia,l’afiliació sindical, la religió i les creences. S’exceptuen els fitxers mantingutspels partits polítics, els sindicats, les esglésies, les confessions o les comuni-tats religioses i associacions, les fundacions i altres entitats sense ànim delucre, amb finalitat política, filosòfica, religiosa o sindical, quant a les dadesrelatives als seus associats o els seus membres, sens perjudici que la cessiód’aquestes dades requereix sempre el consentiment previ de l’afectat.

3. Les dades de caràcter personal que facin referència a l’origen racial,a la salut i a la vida sexual només poden ser recollides, tractades i cedidesquan, per raons d’interès general, així ho disposi una llei o l’afectat hi con-senti expressament.

4. Queden prohibits els fitxers creats amb la finalitat exclusiva d’emma-gatzemar dades de caràcter personal que revelin la ideologia, l’afiliació sin-dical, la religió, les creences, l’origen racial o ètnic, o la vida sexual.

5. Les dades de caràcter personal relatives a la comissió d’infraccionspenals o administratives només poden ser incloses en fitxers de les adminis-tracions públiques competents en els casos que preveuen les normes regu-ladores respectives.

6. No obstant el que disposen els apartats anteriors, poden ser objectede tractament les dades de caràcter personal a què es refereixen els apartats2 i 3 d’aquest article quan aquest tractament sigui necessari per a la preven-ció o per al diagnòstic mèdics, la prestació d’assistència sanitària o de trac-taments mèdics o la gestió de serveis sanitaris, sempre que el tractament dedades, l’efectuï un professional sanitari subjecte al secret professional o unaaltra persona subjecta a una obligació equivalent de secret.

També poden ser objecte de tractament les dades a què es refereix elparàgraf anterior quan el tractament sigui necessari per salvaguardar l’interès

45

vital de l’afectat o d’una altra persona, en cas que l’afectat estigui físicamento jurídicament incapacitat per donar-ne el consentiment.

Article 8Dades relatives a la salut

Sens perjudici del que disposa l’article 11 pel que fa a la cessió, les insti-tucions i els centres sanitaris públics i privats i els professionals corresponentspoden procedir al tractament de les dades de caràcter personal relatives a lasalut de les persones que hi acudeixin o hi hagin de ser tractades, d’acord ambel que disposa la legislació estatal o autonòmica sobre sanitat.

Article 9Seguretat de les dades

1. El responsable del fitxer i, si s’escau, l’encarregat del tractament hand’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garan-teixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, lapèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de latecnologia, la naturalesa de les dades emmagatzemades i els riscos a quèestan exposats, tant si provenen de l’acció humana o del medi físic o natu-ral.

2. No s’han de registrar dades de caràcter personal en fitxers que nocompleixin les condicions que es determinin per via reglamentària en rela-ció amb la seva integritat i seguretat i a les dels centres de tractament, lo-cals, equips, sistemes i programes.

3. S’han d’establir per reglament els requisits i les condicions que hande complir els fitxers i les persones que intervinguin en el tractament de lesdades a què es refereix l’article 7 d’aquesta Llei.

Article 10Deure de secret

El responsable del fitxer i els qui intervinguin en qualsevol fase del trac-tament de les dades de caràcter personal estan obligats al secret professio-nal pel que fa a les dades i al deure de guardar-les, obligacions que subsis-teixen fins i tot després de finalitzar les seves relacions amb el titular delfitxer o, si s’escau, amb el seu responsable.

Article 11Comunicació de dades

1. Les dades de caràcter personal objecte del tractament només poden sercomunicades a un tercer per al compliment de finalitats directament rela-

46

cionades amb les funcions legítimes del cedent i del cessionari amb el con-sentiment previ de l’interessat.

2. El consentiment que exigeix l’apartat anterior no és necessari:a) Quan la cessió està autoritzada en una llei.b) Quan es tracti de dades recollides de fonts accessibles al públic.c) Quan el tractament respongui a la lliure i legítima acceptació d’una

relació jurídica el desenvolupament, el compliment i el control de la qualimpliqui necessàriament la connexió del tractament esmentat amb fitxers detercers. En aquest cas, la comunicació només és legítima quan es limiti a lafinalitat que la justifiqui.

d) Quan la comunicació que s’hagi d’efectuar tingui com a destinatari eldefensor del Poble, el ministeri fiscal o els jutges o tribunals o el Tribunal deComptes, en l’exercici de les funcions que té atribuïdes. Tampoc no cal elconsentiment quan la comunicació tingui com a destinatari institucionsautonòmiques amb funcions anàlogues al defensor del Poble o al Tribunalde Comptes.

e) Quan la cessió es produeixi entre administracions públiques i tinguicom a objecte el tractament posterior de les dades amb finalitats històriques,estadístiques o científiques.

f) Quan la cessió de dades de caràcter personal relatives a la salut siguinecessària per solucionar una urgència que requereixi accedir a un fitxer oper fer els estudis epidemiològics en els termes que estableix la legislaciósobre sanitat estatal o autonòmica.

3. És nul el consentiment per a la comunicació de les dades de caràc-ter personal a un tercer quan la informació que es proporcioni a l’interessatno li permeti conèixer la finalitat a què destinen les dades la comunicacióde les quals s’autoritza o el tipus d’activitat del receptor de la comunicació.

4. El consentiment per a la comunicació de les dades de caràcter perso-nal també té caràcter revocable.

5. El receptor de la comunicació de les dades de caràcter personal s’obliga,pel sol fet de la comunicació, a l’observança de les disposicions d’aquesta Llei.

6. Si la comunicació s’efectua amb el procediment previ de dissociació,no és aplicable el que estableixen els apartats anteriors.

Article 12Accés a les dades per compte de tercers

1. No es considera comunicació de dades l’accés d’un tercer a les dadesquan l’accés sigui necessari per a la prestació d’un servei al responsable deltractament.

2. La realització de tractaments per compte de tercers ha d’estar regu-lada en un contracte que ha de constar per escrit o en alguna altra forma que

47

permeti acreditar-ne la concertació i el contingut, i s’hi ha d’establir de ma-nera expressa que l’encarregat del tractament només ha de tractar les dadesd’acord amb les instruccions del responsable del tractament, que no les potaplicar ni utilitzar amb una finalitat diferent de la que figuri en el contracteesmentat, ni comunicar-les a altres persones, ni tan sols per conservar-les.

El contracte també ha d’estipular les mesures de seguretat a què es re-fereix l’article 9 d’aquesta Llei que l’encarregat del tractament està obligata implementar.

3. Una vegada complerta la prestació contractual, les dades de caràcterpersonal han de ser destruïdes o tornades al responsable del tractament, itambé qualsevol suport o document en què consti alguna dada de caràcterpersonal objecte del tractament.

4. En cas que l’encarregat del tractament destini les dades a una altrafinalitat, les comuniqui o les utilitzi incomplint les estipulacions del contrac-te, també ha de ser considerat responsable del tractament, i ha de respondrede les infraccions en què hagi incorregut personalment.

TÍTOL IIIDrets de les persones

Article 13Impugnació de valoracions

1. Els ciutadans tenen dret a no estar sotmesos a una decisió amb efectesjurídics, sobre ells o que els afecti de manera significativa, que es basi úni-cament en un tractament de dades destinades a avaluar determinats aspec-tes de la seva personalitat.

2. L’afectat pot impugnar els actes administratius o les decisions privadesque impliquin una valoració del seu comportament, que tinguin com a únicfonament un tractament de dades de caràcter personal que ofereixi una de-finició de les seves característiques o de la seva personalitat.

3. En aquest cas, l’afectat té dret a obtenir informació del responsabledel fitxer sobre els criteris de valoració i el programa utilitzats en el tracta-ment que va servir per adoptar la decisió en què va consistir l’acte.

4. La valoració sobre el comportament dels ciutadans, basada en un trac-tament de dades, únicament pot tenir valor probatori a petició de l’afectat.

Article 14Dret de consulta al Registre general de protecció de dades

Qualsevol persona pot conèixer, recollint amb aquesta finalitat la infor-mació oportuna al Registre general de protecció de dades, l’existència de

48

tractaments de dades de caràcter personal, les seves finalitats i la identitatdel responsable del tractament. El Registre general és de consulta pública igratuïta.

Article 15Dret d’accés

1. L’interessat té dret a sol·licitar i obtenir gratuïtament informació deles seves dades de caràcter personal sotmeses a tractament, l’origen de les da-des i les comunicacions efectuades o que es prevegin fer.

2. La informació es pot obtenir mitjançant la mera consulta de les da-des per mitjà de la visualització, o la indicació de les dades que són objec-te de tractament mitjançant escrit, còpia, telecòpia o fotocòpia, certificadao no, en forma llegible i intel·ligible, sense utilitzar claus o codis que reque-reixin l’ús de dispositius mecànics específics.

3. El dret d’accés a què es refereix aquest article només pot ser exercita intervals no inferiors a dotze mesos, llevat que l’interessat acrediti un in-terès legítim a aquest efecte, cas en què el poden exercir abans.

Article 16Dret de rectificació i cancel·lació

1. El responsable del tractament té l’obligació de fer efectiu el dret derectificació o cancel·lació de l’interessat en el termini de deu dies.

2. Han de ser rectificades o cancel·lades, si s’escau, les dades de caràc-ter personal el tractament de les quals no s’ajusti al que disposa aquesta Lleii, en particular, quan aquestes dades siguin inexactes o incompletes.

3. La cancel·lació dóna lloc al bloqueig de les dades, i només s’han deconservar a disposició de les administracions públiques, els jutges i els tri-bunals, per a l’atenció de les possibles responsabilitats nascudes del tracta-ment, durant el termini de prescripció d’aquestes responsabilitats. Complertaquest termini, s’ha de procedir a la supressió.

4. Si les dades rectificades o cancel·lades han estat comunicades prè-viament, el responsable del tractament ha de notificar la rectificació o lacancel·lació efectuada a qui s’hagin comunicat, en cas que aquest últim man-tingui el tractament, que també ha de procedir a la cancel·lació.

5. Les dades de caràcter personal han de ser conservades durant els ter-minis que preveuen les disposicions aplicables o, si s’escau, les relacionscontractuals entre la persona o l’entitat responsable del tractament i l’inte-ressat.

49

Article 17Procediment d’oposició, accés, rectificació o cancel·lació

1. Els procediments per exercir el dret d’oposició, accés, així com els derectificació i cancel·lació han de ser establerts per reglament.

2. No s’ha d’exigir cap contraprestació per l’exercici dels drets d’oposi-ció, accés, rectificació o cancel·lació.

Article 18Tutela dels drets

1. Les actuacions contràries al que disposa aquesta Llei poden ser objectede reclamació pels interessats davant l’Agència de Protecció de Dades, en laforma que es determini per reglament.

2. L’interessat al qual es denegui, totalment o parcialment, l’exercici delsdrets d’oposició, accés, rectificació o cancel·lació, ho pot posar en coneixe-ment de l’Agència de Protecció de Dades o, si s’escau, de l’organisme com-petent de cada comunitat autònoma, que s’ha d’assegurar de la procedènciao la improcedència de la denegació.

3. El termini màxim en què s’ha de dictar la resolució expressa de tu-tela de drets és de sis mesos.

4. Contra les resolucions de l’Agència de Protecció de Dades es pot pre-sentar recurs contenciós administratiu.

Article 19Dret a indemnització

1. Els interessats que, com a conseqüència de l’incompliment del quedisposa aquesta Llei pel responsable o l’encarregat del tractament, pateixindany o lesió en els seus béns o drets tenen dret a ser indemnitzats.

2. Quan es tracti de fitxers de titularitat pública, la responsabilitat s’exi-geix d’acord amb la legislació reguladora del règim de responsabilitat de lesadministracions públiques.

3. En el cas dels fitxers de titularitat privada, l’acció s’ha d’exercir da-vant els òrgans de la jurisdicció ordinària.

50

TÍTOL IVDisposicions sectorials

CAPÍTOL IFitxers de titularitat pública

Article 20Creació, modificació o supressió

1. La creació, la modificació o la supressió dels fitxers de les adminis-tracions públiques només es poden fer per mitjà d’una disposició general pu-blicada en el Butlletí Oficial de l’Estat o en el diari oficial corresponent.

2. Les disposicions de creació o de modificació de fitxers han d’indicar:a) La finalitat del fitxer i els usos previstos.b) Les persones o els col·lectius sobre els quals es pretén obtenir dades

de caràcter personal o que estiguin obligats a subministrar-les.c) El procediment de recollida de les dades de caràcter personal.d) L’estructura bàsica del fitxer i la descripció dels tipus de dades de ca-

ràcter personal incloses en el mateix fitxer.e) Les cessions de dades de caràcter personal i, si s’escau, les transferèn-

cies de dades que es prevegin a països tercers.f) Els òrgans de les administracions responsables del fitxer.g) Els serveis o les unitats davant els quals es puguin exercir els drets

d’accés, rectificació, cancel·lació i oposició.h) Les mesures de seguretat amb indicació del nivell bàsic, mitjà o alt

exigible.3. En les disposicions que es dictin per a la supressió dels fitxers, se n’ha

d’establir el destí o, si s’escau, les previsions que s’adoptin per destruir-los.

Article 21Comunicació de dades entre administracions públiques

1. Les dades de caràcter personal recollides o elaborades per les admi-nistracions públiques per a l’exercici de les seves atribucions no han de sercomunicades a altres administracions públiques per a l’exercici de competèn-cies diferents o de competències que tractin matèries diferents, excepte quanla comunicació hagi estat prevista per les disposicions de creació del fitxero per una disposició de rang superior que en reguli l’ús, o quan la comuni-cació tingui com a objecte el tractament posterior de les dades amb finali-tats històriques, estadístiques o científiques.*

* L’incís en cursiva ha estat declarat inconstitucional per la STC 292/2000, de 30 de novembre.

51

2. En tot cas, poden ser objecte de comunicació les dades de caràcterpersonal que una administració pública obtingui o elabori amb destinació auna altra.

3. No obstant el que estableix l’article 11.2.b), la comunicació de dadesrecollides de fonts accessibles al públic no es pot efectuar a fitxers de titu-laritat privada, si no és amb el consentiment de l’interessat o quan una lleiprevegi una altra cosa.

4. En els supòsits que preveuen els apartats 1 i 2 d’aquest article no ésnecessari el consentiment de l’afectat a què es refereix l’article 11 d’aques-ta Llei.

Article 22Fitxers de les Forces i els Cossos de Seguretat

1. Els fitxers creats per les Forces i els Cossos de Seguretat que contin-guin dades de caràcter personal que, pel fet d’haver-se recollit per a finali-tats administratives, han de ser objecte de registre permanent, estan subjectesal règim general d’aquesta Llei.

2. La recollida i el tractament per a finalitats policials de dades de ca-ràcter personal per les Forces i els Cossos de Seguretat sense el consentimentde les persones afectades estan limitats a aquells supòsits i aquelles catego-ries de dades que siguin necessaris per a la prevenció d’un perill real per ala seguretat pública o per a la repressió d’infraccions penals, i han de ser em-magatzemades en fitxers específics establerts a aquest efecte, que s’han declassificar per categories en funció del grau de fiabilitat.

3. La recollida i el tractament per les Forces i els Cossos de Seguretat deles dades a què fan referència els apartats 2 i 3 de l’article 7 es poden ferexclusivament en els supòsits en què sigui absolutament necessari per a lesfinalitats d’una investigació concreta, sens perjudici del control de legalitat del’actuació administrativa o de l’obligació de resoldre les pretensions formula-des, si s’escau, pels interessats que corresponen als òrgans jurisdiccionals.

4. Les dades personals registrades amb finalitats policials s’han de can-cel·lar quan no siguin necessàries per a les investigacions que n’hagin mo-tivat l’emmagatzematge.

A aquests efectes, s’ha de considerar especialment l’edat de l’afectat i elcaràcter de les dades emmagatzemades, la necessitat de mantenir les dadesfins a la conclusió d’una investigació o un procediment concret, la resolu-ció judicial ferma, especialment l’absolutòria, l’indult, la rehabilitació i laprescripció de responsabilitat.

52

Article 23Excepcions als drets d’accés, rectificació i cancel·lació

1. Els responsables dels fitxers que continguin les dades a què es referei-xen els apartats 2, 3 i 4 de l’article anterior poden denegar l’accés, la rectifi-cació o la cancel·lació en funció dels perills que es puguin derivar per a ladefensa de l’Estat o la seguretat pública, la protecció dels drets i les llibertatsde tercers o les necessitats de les investigacions que s’estiguin duent a terme.

2. Els responsables dels fitxers de la Hisenda Pública també poden de-negar l’exercici dels drets a què es refereix l’apartat anterior quan això obs-taculitzi les actuacions administratives tendents a assegurar el complimentde les obligacions tributàries i, en tot cas, quan l’afectat estigui sent objec-te d’actuacions inspectores.

3. L’afectat al qual es denegui, totalment o parcialment, l’exercici delsdrets esmentats en els apartats anteriors ho pot posar en coneixement deldirector de l’Agència de Protecció de Dades o de l’organisme competent decada comunitat autònoma en el cas de fitxers mantinguts per cossos de po-licia propis d’aquestes comunitats, o per les administracions tributàries au-tonòmiques, els quals s’han d’assegurar de la procedència o improcedènciade la denegació.

Article 24Altres excepcions als drets dels afectats

1. El que disposen els apartats 1 i 2 de l’article 5 no és aplicable a larecollida de dades quan el fet d’informar-ne l’afectat impedeixi o dificultigreument el compliment de les funcions de control i verificació de les admi-nistracions públiques o quan afecti la Defensa Nacional, la seguretat públicao la persecució d’infraccions penals o administratives.

2. El que disposen l’article 15 i l’apartat 1 de l’article 16 no és aplicablesi, ponderats els interessos en presència, resulta que els drets que aquestspreceptes concedeixen a l’afectat han de cedir per raons d’interès públic odavant interessos de tercers més dignes de protecció. Si l’òrgan administratiuresponsable del fitxer invoca el que disposa aquest apartat, ha de dictar unaresolució motivada i instruir l’afectat del dret que l’assisteix a posar la ne-gativa en coneixement del director de l’Agència de Protecció de Dades o, sis’escau, de l’òrgan equivalent de les comunitats autònomes.*

* Els incisos en cursiva han estat declarats inconstitucionals per la STC 292/2000, de 30 denovembre.

53

CAPÍTOL IIFitxers de titularitat privada

Article 25Creació

Es poden crear fitxers de titularitat privada que continguin dades decaràcter personal quan sigui necessari per aconseguir l’activitat o l’objectelegítims de la persona, l’empresa o l’entitat titular i es respectin les garan-ties que aquesta Llei estableix per a la protecció de les persones.

Article 26Notificació i inscripció registral

1. Qualsevol persona o entitat que procedeixi a la creació de fitxers dedades de caràcter personal ho ha de notificar prèviament a l’Agència deProtecció de Dades.

2. Per la via reglamentària s’ha de procedir a la regulació detallada delsdiferents aspectes que ha de contenir la notificació, entre els quals han defigurar necessàriament el responsable del fitxer, la finalitat, la ubicació, eltipus de dades de caràcter personal que conté, les mesures de seguretat, ambindicació del nivell bàsic, mitjà o alt exigible i les cessions de dades de ca-ràcter personal que es prevegin realitzar i, si s’escau, les transferències dedades que es prevegin a països tercers.

3. S’han de comunicar a l’Agència de Protecció de Dades els canvis quees produeixin en la finalitat del fitxer automatitzat, en el seu responsable ien l’adreça de la seva ubicació.

4. El Registre general de protecció de dades ha d’inscriure el fitxer si lanotificació s’ajusta als requisits exigibles.

En cas contrari pot demanar que es completin les dades que faltin o ques’esmenin.

5. Transcorregut un mes des de la presentació de la sol·licitud d’inscrip-ció sense que l’Agència de Protecció de Dades hagi emès resolució sobre lasol·licitud, s’entén inscrit el fitxer automatitzat amb caràcter general.

Article 27Comunicació de la cessió de dades

1. El responsable del fitxer, en el moment en què s’efectuï la primeracessió de dades, ha d’informar-ne els afectats, indicant-hi, també, la finali-tat del fitxer, la naturalesa de les dades que han estat cedides i el nom il’adreça del cessionari.

2. L’obligació que estableix l’apartat anterior no existeix en el supòsit

54

que preveuen els apartats 2, lletres c), d), e) i 6 de l’article 11, ni quan lacessió estigui imposada per llei.

Article 28Dades incloses en les fonts d’accés públic

1. Les dades personals que figurin en el cens promocional, o les llistes depersones que pertanyin a grups de professionals a què es refereix l’article 3.j)d’aquesta Llei s’han de limitar a les que siguin estrictament necessàries percomplir la finalitat a què es destina cada llistat. La inclusió de dades addicio-nals per les entitats responsables del manteniment d’aquestes fonts requereixel consentiment de l’interessat, que pot ser revocat en qualsevol moment.

2. Els interessats tenen dret que l’entitat responsable del mantenimentdels llistats dels col·legis professionals indiqui gratuïtament que les sevesdades personals no es poden utilitzar per a finalitats de publicitat o prospec-ció comercial.

Els interessats tenen dret a exigir gratuïtament l’exclusió de la totalitatde les seves dades personals que constin en el cens promocional per les en-titats encarregades del manteniment d’aquestes fonts.

L’atenció a la sol·licitud d’exclusió de la informació innecessària o d’in-clusió de l’objecció a l’ús de les dades per a finalitats de publicitat o vendaa distància s’ha de fer en el termini de deu dies pel que fa a les informacionsque s’efectuïn mitjançant consulta o comunicació telemàtica i en la ediciósegüent del llistat sigui quin sigui el suport en què s’editi.

3. Les fonts d’accés públic que s’editin en forma de llibre o algun altresuport físic perden el caràcter de font accessible amb la nova edició que espubliqui.

En cas que s’obtingui telemàticament una còpia de la llista en formatelectrònic, aquesta perd el caràcter de font d’accés públic en el termini d’unany, a comptar des del moment d’obtenir-la.

4. Les dades que figurin en les guies de serveis de telecomunicacionsdisponibles al públic es regeixen per la seva normativa específica.

Article 29Prestació de serveis d’informació sobre solvència patrimonial i crèdit

1. Els qui es dediquin a la prestació de serveis d’informació sobre la sol-vència patrimonial i el crèdit només poden tractar dades de caràcter perso-nal obtingudes dels registres i les fonts accessibles al públic establerts aaquest efecte o procedents d’informacions facilitades per l’interessat o ambel seu consentiment.

2. També es poden tractar dades de caràcter personal relatives al com-pliment o l’incompliment d’obligacions dineràries facilitades pel creditor o

55

per qui actuï pel seu compte o interès. En aquests casos, s’ha de notificar alsinteressats pel que fa als que hagin registrat dades de caràcter personal enfitxers, en el termini de trenta dies des del registre esmentat, una referènciadels que hi hagin estat inclosos i se’ls ha d’informar del seu dret a recollirinformació de tots ells, en els termes que estableix aquesta Llei.

3. En els supòsits a què es refereixen els dos apartats anteriors, quanl’interessat ho sol·liciti, el responsable del tractament li ha de comunicar lesdades, i també les avaluacions i les apreciacions que sobre ell li hagin estatcomunicades durant els últims sis mesos, i el nom i l’adreça de la persona ol’entitat a qui s’hagin revelat les dades.

4. Només es poden registrar i cedir les dades de caràcter personal quesiguin determinants per enjudiciar la solvència econòmica dels interessats ique no es refereixin, quan siguin adverses, a més de sis anys, sempre queresponguin amb veracitat a la situació actual dels interessats.

Article 30Tractaments amb finalitats de publicitat i de prospecció comercial

1. Els qui es dediquin a la recopilació d’adreces, repartiment de docu-ments, publicitat, venda a distància, prospecció comercial i altres activitatsanàlogues poden utilitzar els noms, les adreces o altres dades de caràcterpersonal quan figurin en fonts accessibles al públic o quan hagin estat fa-cilitats pels mateixos interessats o s’hagin obtingut amb el seu consentiment.

2. Quan les dades procedeixin de fonts accessibles al públic, de confor-mitat amb el que estableix el paràgraf segon de l’article 5.5 d’aquesta Llei,en cada comunicació que s’adreci a l’interessat s’ha d’informar de l’origen deles dades i de la identitat del responsable del tractament, així com dels dretsque l’assisteixen.

3. En l’exercici del dret d’accés, els interessats tenen dret a conèixerl’origen de les seves dades de caràcter personal, així com de la resta d’infor-mació a què es refereix l’article 15.

4. Els interessats tenen el dret d’oposar-se, amb la petició prèvia i sen-se despeses, al tractament de les dades que els concerneixin, cas en el qualhan de ser donats de baixa del tractament i s’han de cancel·lar les informa-cions que sobre els interessats figurin en el tractament, amb la simple sol·li-citud.

Article 31Cens promocional

1. Els qui vulguin exercir de manera permanent o esporàdica l’activitatde recopilació d’adreces, repartiment de documents, publicitat, venda a dis-

56

tància, prospecció comercial o altres activitats anàlogues, poden sol·licitar al’Institut Nacional d’Estadística o als òrgans equivalents de les comunitatsautònomes una còpia del cens promocional, format amb les dades de nom,cognoms i domicili que consten en el cens electoral.

2. L’ús de cada llista de cens promocional té un termini de vigència d’unany. Transcorregut aquest termini, la llista perd el seu caràcter de font d’ac-cés públic.

3. Els procediments mitjançant els quals els interessats poden sol·licitarno constar en el cens promocional s’han de regular per reglament. Entreaquests procediments, que han de ser gratuïts per als interessats, s’ha d’in-cloure el document d’empadronament. Trimestralment s’ha d’editar una llistaactualitzada del cens promocional en què s’excloguin els noms i les adrecesdels que així ho hagin sol·licitat.

4. Es pot exigir una contraprestació per facilitar la llista en suport in-formàtic.

Article 32Codis tipus

1. Mitjançant acords sectorials, convenis administratius o decisions d’em-presa, els responsables de tractaments de titularitat pública i privada, així comles organitzacions en què s’agrupin, poden formular codis tipus que estableixinles condicions d’organització, règim de funcionament, procediments aplicables,normes de seguretat de l’entorn, programes o equips, obligacions dels impli-cats en el tractament i ús de la informació personal, així com les garanties, enel seu àmbit, per a l’exercici dels drets de les persones, amb ple respecte alsprincipis i les disposicions d’aquesta Llei i les seves normes de desplegament.

2. Aquests codis poden contenir o no regles operacionals detallades decada sistema particular i estàndards tècnics d’aplicació.

En el cas que aquestes regles o estàndards no s’incorporin directamental codi, les instruccions o les ordres que els estableixin han de respectar elsprincipis que fixi el codi.

3. Els codis tipus tenen el caràcter de codis deontològics o de bona pràc-tica professional, i han de ser dipositats o inscrits en el Registre general deprotecció de dades i, quan correspongui, en els creats a aquests efectes perles comunitats autònomes, d’acord amb l’article 41. El Registre general deprotecció de dades pot denegar-ne la inscripció quan consideri que no s’ajus-ta a les disposicions legals i reglamentàries sobre la matèria, i, en aquest cas,el director de l’Agència de Protecció de Dades ha de requerir els sol·licitantsperquè facin les correccions oportunes.

57

TÍTOL VMoviment internacional de dades

Article 33Norma general

1. No es poden fer transferències temporals ni definitives de dades decaràcter personal que hagin estat objecte de tractament o hagin estat reco-llides per sotmetre-les al tractament esmentat amb destinació a països queno proporcionin un nivell de protecció equiparable al que presta aquesta Llei,llevat que, a més a més d’haver-se observat el que disposa aquesta Llei, s’ob-tingui l’autorització prèvia del director de l’Agència de Protecció de Dades,que només la pot atorgar si s’obtenen garanties adequades.

2. El caràcter adequat del nivell de protecció que ofereix el país de des-tinació, l’avalua l’Agència de Protecció de Dades atenent totes les circums-tàncies que concorrin en la transferència o la categoria de transferència dedades. En particular, cal tenir en consideració la naturalesa de les dades, lafinalitat i la durada del tractament o dels tractaments previstos, el país d’ori-gen i el país de destinació final, les normes de dret, generals o sectorials,vigents en el país tercer de què es tracti, el contingut dels informes de laComissió de la Unió Europea, així com les normes professionals i les mesuresde seguretat en vigor en aquests països.

Article 34Excepcions

El que disposa l’article anterior no és aplicable:a) Quan la transferència internacional de dades de caràcter personal re-

sulti de l’aplicació de tractats o convenis en què Espanya sigui part.b) Quan la transferència es faci a efectes de prestar o sol·licitar auxili

judicial internacional.c) Quan la transferència sigui necessària per a la prevenció o per al di-

agnòstic mèdics, la prestació d’assistència sanitària o tractament mèdics o lagestió de serveis sanitaris.

d) Quan es refereixi a transferències dineràries d’acord amb la legisla-ció específica.

e) Quan l’afectat hagi donat el seu consentiment inequívoc a la trans-ferència prevista.

f) Quan la transferència sigui necessària per a l’execució d’un contrac-te entre l’afectat i el responsable del fitxer o per a l’adopció de mesuresprecontractuals adoptades a petició de l’afectat.

g) Quan la transferència sigui necessària per a la subscripció o l’execució

58

d’un contracte subscrit o per subscriure, en interès de l’afectat, pel respon-sable del fitxer i un tercer.

h) Quan la transferència sigui necessària o legalment exigida per salva-guardar un interès públic. Té aquesta consideració la transferència sol·licitadaper una administració fiscal o duanera per al compliment de les seves com-petències.

i) Quan la transferència sigui necessària per al reconeixement, l’exercicio la defensa d’un dret en un procés judicial.

j) Quan la transferència s’efectuï, a petició d’una persona amb interèslegítim, des d’un registre públic i aquella estigui d’acord amb la finalitat delregistre.

k) Quan la transferència tingui com a destinació un estat membre de laUnió Europea, o un estat respecte del qual la Comissió de les ComunitatsEuropees, en l’exercici de les seves competències, hagi declarat que garan-teix un nivell de protecció adequat.

TÍTOL VIAgència de Protecció de Dades

Article 35Naturalesa i règim jurídic

1. L’Agència de Protecció de Dades és un ens de dret públic, amb per-sonalitat jurídica pròpia i plena capacitat pública i privada, que actua ambplena independència de les administracions públiques en l’exercici de lesseves funcions. Es regeix pel que disposen aquesta Llei i un estatut propi, queha de ser aprovat pel Govern.

2. En l’exercici de les seves funcions públiques, i en defecte del que dis-posin aquesta Llei i les seves disposicions de desplegament, l’Agència deProtecció de Dades ha d’actuar d’acord amb la Llei 30/1992, de 26 de novem-bre, de règim jurídic de les administracions públiques i del procediment ad-ministratiu comú. En les seves adquisicions patrimonials i contractació estàsubjecta al dret privat.

3. Els llocs de treball dels òrgans i serveis que integrin l’Agència de Pro-tecció de Dades han de ser ocupats per funcionaris de les administracionspúbliques i per personal contractat a aquest efecte, segons la naturalesa deles funcions assignades a cada lloc de treball. Aquest personal està obligata guardar secret de les dades de caràcter personal que conegui en l’exercicide la seva funció.

4. L’Agència de Protecció de Dades ha de disposar, per al compliment deles seves finalitats, dels béns i mitjans econòmics següents:

59

a) Les assignacions que s’estableixin anualment amb càrrec als pressu-postos generals de l’Estat.

b) Els béns i els valors que constitueixin el seu patrimoni, així com elsproductes i les rendes del mateix patrimoni.

c) Qualsevol altre que legalment li pugui ser atribuït.5. L’Agència de Protecció de Dades ha d’elaborar i aprovar amb caràc-

ter anual el corresponent avantprojecte de pressupost i l’ha de remetre al Go-vern perquè sigui integrat, amb la independència deguda, en els pressupostosgenerals de l’Estat.

Article 36El director

1. El director de l’Agència de Protecció de Dades dirigeix l’Agència in’exerceix la representació. És nomenat, d’entre els qui componen el ConsellConsultiu, mitjançant reial decret, per un període de quatre anys.

2. Exerceix les funcions amb plena independència i objectivitat, i no estàsubjecte a cap instrucció en l’exercici de les seves funcions.

En tot cas, el director ha d’escoltar el Consell Consultiu en les propos-tes que li faci en l’exercici de les seves funcions.

3. El director de l’Agència de Protecció de Dades només cessa abans del’expiració del període a què es refereix l’apartat 1, a petició pròpia o perseparació acordada pel Govern, amb la instrucció prèvia d’un expedient, enel qual han de ser escoltats necessàriament els altres membres del ConsellConsultiu, per incompliment greu de les seves obligacions, incapacitat sobre-vinguda per a l’exercici de la seva funció, incompatibilitat o condemna perdelicte dolós.

4. El director de l’Agència de Protecció de Dades té la consideració d’altcàrrec i queda en la situació de serveis especials si anteriorment exercia unafunció pública. En cas que sigui nomenat per al càrrec algun membre de lacarrera judicial o fiscal, també passa a la situació administrativa de serveisespecials.

Article 37Funcions

Són funcions de l’Agència de Protecció de Dades:a) Vetllar pel compliment de la legislació sobre protecció de dades i con-

trolar-ne l’aplicació, especialment pel que fa als drets d’informació, accés,rectificació, oposició i cancel·lació de dades.

b) Emetre les autoritzacions que preveuen la Llei o les seves disposicionsreglamentàries.

60

c) Dictar, si s’escau, i sens perjudici de les competències d’altres òrgans,les instruccions necessàries per adequar els tractaments als principis d’aques-ta Llei.

d) Atendre les peticions i les reclamacions formulades per les personesafectades.

e) Proporcionar informació a les persones respecte als seus drets en ma-tèria de tractament de les dades de caràcter personal.

f) Requerir als responsables i els encarregats dels tractaments, amb l’au-diència prèvia d’aquests, l’adopció de les mesures necessàries per a l’adequa-ció del tractament de dades a les disposicions d’aquesta Llei i, si s’escau,ordenar la cessació dels tractaments i la cancel·lació dels fitxers, quan nos’ajusti a les seves disposicions.

g) Exercir la potestat sancionadora en els termes que preveu el títol VIId’aquesta Llei.

h) Emetre informe, amb caràcter preceptiu, sobre els projectes de dispo-sicions generals que despleguin aquesta Llei.

i) Recollir dels responsables dels fitxers tota l’ajuda i la informació queconsideri necessària per a l’exercici de les seves funcions.

j) Vetllar per la publicitat de l’existència dels fitxers de dades amb caràcterpersonal; a aquest efecte, ha de publicar periòdicament una relació dels fitxersesmentats amb la informació addicional que el director de l’Agència determini.

k) Redactar una memòria anual i remetre-la al Ministeri de Justícia.l) Exercir el control i adoptar les autoritzacions que siguin procedents

en relació amb els moviments internacionals de dades, així com exercir lesfuncions de cooperació internacional en matèria de protecció de dades per-sonals.

m) Vetllar pel compliment de les disposicions que la Llei de la funcióestadística pública estableix respecte a la recollida de dades estadístiques ial secret estadístic, així com dictar les instruccions necessàries, dictaminarsobre les condicions de seguretat dels fitxers constituïts amb finalitats ex-clusivament estadístiques i exercir la potestat a la qual es refereix l’article 46.

n) Totes les altres que li siguin atribuïdes per normes legals o reglamen-tàries.

Article 38Consell Consultiu

El director de l’Agència de Protecció de Dades està assessorat per unConsell Consultiu compost pels membres següents:

Un diputat, proposat pel Congrés dels Diputats.Un senador, proposat pel Senat.Un representant de l’Administració central, designat pel Govern.

61

Un representant de l’Administració local, proposat per la Federació Es-panyola de Municipis i Províncies.

Un membre de la Reial Acadèmia de la Història, proposat per aquesta.Un expert en la matèria, proposat pel Consell Superior d’Universitats.Un representant dels usuaris i consumidors, seleccionat de la manera que

es prevegi per reglament.Un representant de cada comunitat autònoma que hagi creat una agència

de protecció de dades en el seu àmbit territorial, proposat d’acord amb elprocediment que estableixi la comunitat autònoma respectiva.

Un representant del sector de fitxers privats, per a la proposta del quals’ha de seguir el procediment que es reguli per reglament.

El funcionament del Consell Consultiu es regeix per les normes regla-mentàries que s’estableixin a aquest efecte.

Article 39El Registre General de Protecció de Dades

1. El Registre general de protecció de dades és un òrgan integrat al’Agència de Protecció de Dades.

2. Són objecte d’inscripció en el Registre General de Protecció de Dades:a) Els fitxers de què siguin titulars les administracions públiques.b) Els fitxers de titularitat privada.c) Les autoritzacions a què es refereix aquesta Llei.d) Els codis tipus a què es refereix l’article 32 d’aquesta Llei.e) Les dades relatives als fitxers que siguin necessàries per a l’exercici

dels drets d’informació, accés, rectificació, cancel·lació i oposició.3. Per via reglamentària s’ha de regular el procediment d’inscripció dels

fitxers, tant de titularitat pública com de titularitat privada, en el RegistreGeneral de Protecció de Dades, el contingut de la inscripció, la seva modi-ficació, la cancel·lació, les reclamacions i els recursos contra les resolucionscorresponents i altres aspectes pertinents.

Article 40Potestat d’inspecció

1. Les autoritats de control poden inspeccionar els fitxers a què fa re-ferència aquesta Llei i recollir tota la informació que requereixin per al com-pliment de les seves comeses.

A aquest efecte, poden sol·licitar l’exhibició o l’enviament de documentsi dades, i examinar-los en el lloc en què estiguin dipositats, així com inspec-cionar els equips físics i lògics utilitzats per al tractament de les dades, iaccedir als locals on estiguin instal·lats.

2. Els funcionaris que exerceixin la inspecció a què es refereix l’apar-

62

tat anterior tenen la consideració d’autoritat pública en l’exercici de les se-ves comeses.

Estan obligats a guardar secret sobre les informacions que coneguin enl’exercici de les funcions esmentades, fins i tot després d’haver-ne cessat.

Article 41Òrgans corresponents de les comunitats autònomes

1. Les funcions de l’Agència de Protecció de Dades que regula l’article37, excepte les esmentades en els apartats j), k) i l), i en els apartats f) i g)pel que fa a les transferències internacionals de dades, així com els articles46 i 49, en relació amb les seves competències específiques han de ser exer-cides, quan afectin fitxers de dades de caràcter personal creats o gestionatsper les comunitats autònomes i per l’Administració local del seu àmbit ter-ritorial, pels òrgans corresponents de cada comunitat, que tenen la conside-ració d’autoritats de control, als quals han de garantir plena independènciai objectivitat en l’exercici de la seva comesa.

2. Les comunitats autònomes poden crear i mantenir els seus propis re-gistres de fitxers per a l’exercici de les competències que se’ls reconeix so-bre els fitxers.

3. El director de l’Agència de Protecció de Dades pot convocar regular-ment els òrgans corresponents de les comunitats autònomes a efectes decooperació institucional i coordinació de criteris o procediments d’actuació.El director de l’Agència de Protecció de Dades i els òrgans corresponents deles comunitats autònomes poden sol·licitar-se mútuament la informació ne-cessària per al compliment de les seves funcions.

Article 42Fitxers de les comunitats autònomes en matèria de la seva competènciaexclusiva

1. Quan el director de l’Agència de Protecció de Dades constati que elmanteniment o l’ús d’un determinat fitxer de les comunitats autònomes con-travé a algun precepte d’aquesta Llei en matèria de la seva competènciaexclusiva pot requerir a l’Administració corresponent que adopti les mesu-res correctores que determini en el termini que es fixi expressament en elrequeriment.

2. Si l’Administració pública corresponent no compleix el requerimentformulat, el director de l’Agència de Protecció de Dades pot impugnar laresolució adoptada per aquella Administració.

63

TÍTOL VIIInfraccions i sancions

Article 43Responsables

1. Els responsables dels fitxers i els encarregats dels tractaments estansubjectes al règim sancionador que estableix aquesta Llei.

2. Quan es tracti de fitxers dels quals siguin responsables les adminis-tracions públiques cal atenir-se, pel que fa al procediment i les sancions, alque disposa l’article 46, apartat 2.

Article 44Tipus d’infraccions

1. Les infraccions es qualifiquen de lleus, greus o molt greus.2. Són infraccions lleus:a) No atendre, per motius formals, la sol·licitud de l’interessat de recti-

ficació o cancel·lació de les dades personals objecte de tractament quan le-galment sigui procedent.

b) No proporcionar la informació que sol·liciti l’Agència de Protecció deDades en l’exercici de les competències que té atribuïdes legalment, en re-lació amb aspectes no substantius de la protecció de dades.

c) No sol·licitar la inscripció del fitxer de dades de caràcter personal enel Registre General de Protecció de Dades, quan no sigui constitutiu d’infrac-ció greu.

d) Recollir dades de caràcter personal dels mateixos afectats sense pro-porcionar-los la informació que assenyala l’article 5 d’aquesta Llei.

e) Incomplir el deure de secret que estableix l’article 10 d’aquesta Llei,llevat que constitueixi infracció greu.

3. Són infraccions greus:a) Crear fitxers de titularitat pública o iniciar la recollida de dades de ca-

ràcter personal per als mateixos fitxers, sense l’autorització de disposició ge-neral, publicada en el Butlletí Oficial de l’Estat o el diari oficial corresponent.

b) Crear fitxers de titularitat privada o iniciar la recollida de dades decaràcter personal per als mateixos fitxers amb finalitats diferents de les queconstitueixen l’objecte legítim de l’empresa o entitat.

c) Recollir dades de caràcter personal sense obtenir el consentiment ex-prés de les persones afectades, en els casos en què aquest sigui exigible.

d) Tractar les dades de caràcter personal o utilitzar-les posteriormentamb conculcació dels principis i les garanties que estableix aquesta Llei oamb incompliment dels preceptes de protecció que imposin les disposicionsreglamentàries de desplegament, quan no constitueixi infracció molt greu.

64

e) Impedir o obstaculizar l’exercici dels drets d’accés i oposició i la ne-gativa a facilitar la informació que sigui sol·licitada.

f) Mantenir dades de caràcter personal inexactes o no fer les rectifica-cions o les cancel·lacions de les dades que legalment siguin procedents quansiguin afectats els drets de les persones que empara aquesta Llei.

g) La vulneració del deure de guardar secret sobre les dades de caràc-ter personal incorporades a fitxers que continguin dades relatives a la comis-sió d’infraccions administratives o penals, Hisenda Pública, serveis financers,prestació de serveis de solvència patrimonial i crèdit, així com els altres fit-xers que continguin un conjunt de dades de caràcter personal suficients perobtenir una avaluació de la personalitat de l’individu.

h) Mantenir els fitxers, locals, programes o equips que continguin da-des de caràcter personal sense les degudes condicions de seguretat que es de-terminin per la via reglamentària.

i) No remetre a l’Agència de Protecció de Dades les notificacions quepreveuen aquesta Llei o les seves disposicions de desplegament, i no propor-cionar a l’Agència en el termini escaient tots els documents i les informa-cions que hagi de rebre o siguin requerits per aquell a aquests efectes.

j) L’obstrucció de l’exercici de la funció inspectora.k) No inscriure el fitxer de dades de caràcter personal al Registre General

de Protecció Dades, quan hagi estat requerit per fer-ho pel director de l’Agèn-cia de Protecció de Dades.

l) Incomplir el deure d’informació que estableixen els articles 5, 28 i 29d’aquesta Llei, quan les dades hagin estat recollides d’una persona diferentde l’afectat.

4. Són infraccions molt greus:a) La recollida de dades en forma enganyosa i fraudulenta.b) La comunicació o la cessió de les dades de caràcter personal, llevat

dels casos en què estigui permès.c) Recollir i tractar les dades de caràcter personal a què es refereix

l’apartat 2 de l’article 7 quan no hi hagi el consentiment exprés de l’afectat;recollir i tractar les dades referides a l’apartat 3 de l’article 7 quan no ho dis-posi una llei o l’afectat no hi hagi consentit expressament, o violentar laprohibició que conté l’apartat 4 de l’article 7.

d) No cessar en l’ús il·legítim dels tractaments de dades de caràcter per-sonal quan sigui requerit per fer-ho pel director de l’Agència de Protecció deDades o per les persones titulars del dret d’accés.

e) La transferència temporal o definitiva de dades de caràcter personalque hagin estat objecte de tractament o hagin estat recollides per sotmetre-les a aquest tractament, amb destinació a països que no tinguin un nivell deprotecció equiparable sense l’autorització del director de l’Agència de Pro-tecció de Dades.

65

f) Tractar les dades de caràcter personal de manera il·legítima o amb menys-preu dels principis i garanties que els siguin aplicables, quan amb això s’im-pedeixi l’exercici dels drets fonamentals o s’atempti contra aquest exercici.

g) La vulneració del deure de guardar secret sobre les dades de caràc-ter personal a què fan referència els apartats 2 i 3 de l’article 7, així com lesque hagin estat recollides per a finalitats policials sense el consentiment deles persones afectades.

h) No atendre o obstaculitzar de manera sistemàtica l’exercici dels dretsd’accés, rectificació, cancel·lació o oposició.

i) No atendre de manera sistemàtica el deure legal de notificació de lainclusió de dades de caràcter personal en un fitxer.

Article 45Tipus de sancions

1. Les infraccions lleus se sancionen amb una multa de 100.000 a10.000.000 de pessetes.

2. Les infraccions greus se sancionen amb una multa de 10.000.000 a50.000.000 de pessetes.

3. Les infraccions molt greus se sancionen amb una multa de 50.000.000a 100.000.000 de pessetes.

4. La quantitat de les sancions es gradua atenent la naturalesa dels dretspersonals afectats, el volum dels tractaments efectuats, els beneficis obtin-guts, el grau d’intencionalitat, la reincidència, els danys i perjudicis causatsa les persones interessades i a terceres persones, i qualsevol altra circums-tància que sigui rellevant per determinar el grau d’antijuridicitat i de culpa-bilitat presents en l’actuació infractora concreta.

5. Si, pel que fa a les circumstàncies concurrents, s’aprecia una dismi-nució qualificada de la culpabilitat de l’imputat o de l’antijuridicitat del fet,l’òrgan sancionador ha d’establir la quantitat de la sanció aplicant l’escalarelativa a la classe d’infraccions que precedeixi immediatament en gravetata aquella en què s’integra la considerada en el cas de què es tracti.

6. En cap cas es pot imposar una sanció més greu que la que fixa la Lleiper a la classe d’infracció en què s’integri la que es pretengui sancionar.

7. El Govern ha d’actualitzar periòdicament la quantitat de les sancionsd’acord amb les variacions que experimentin els índexs de preus.

Article 46Infraccions de les administracions públiques

1. Quan les infraccions a què es refereix l’article 44 siguin comeses enfitxers dels quals siguin responsables les administracions públiques, el direc-tor de l’Agència de Protecció de Dades ha de dictar una resolució per esta-

66

blir les mesures que escau adoptar perquè cessin o es corregeixin els efec-tes de la infracció. Aquesta resolució s’ha de notificar al responsable del fit-xer, a l’òrgan del qual depengui jeràrquicament i als afectats, si n’hi ha.

2. El director de l’Agència també pot proposar la iniciació d’actuacionsdisciplinàries, si són procedents. El procediment i les sancions que s’hand’aplicar han de ser les establertes en la legislació sobre règim disciplinari deles administracions públiques.

3. S’han de comunicar a l’Agència les resolucions que es dictin en rela-ció amb les mesures i les actuacions a què es refereixen els apartats anteriors.

4. El director de l’Agència ha de comunicar al defensor del Poble les actua-cions que efectuï i les resolucions que dicti a l’empara dels apartats anteriors.

Article 47Prescripció

1. Les infraccions molt greus prescriuen al cap de tres anys, les greus alcap de dos anys i les lleus al cap d’un any.

2. El termini de prescripció es comença a comptar des del dia en quès’hagi comès la infracció.

3. Interromp la prescripció la iniciació, amb coneixement de l’interessat,del procediment sancionador, i es reprèn el termini de prescripció si l’expe-dient sancionador està paralitzat durant més de sis mesos per causes noimputables al presumpte infractor.

4. Les sancions imposades per faltes molt greus prescriuen al cap de tresanys, les imposades per faltes greus al cap de dos anys i les imposades perfaltes lleus al cap d’un any.

5. El termini de prescripció de les sancions comença a comptar des del’endemà del dia en què adquireixi fermesa la resolució per la qual s’impo-sa la sanció.

6. La prescripció s’interromp per la iniciació, amb coneixement de l’in-teressat, del procediment d’execució, i torna a transcórrer el termini si elprocediment està paralitzat durant més de sis mesos per una causa no im-putable a l’infractor.

Article 48Procediment sancionador

1. Per la via reglamentària s’ha d’establir el procediment que s’ha de se-guir per a la determinació de les infraccions i la imposició de les sancionsa què fa referència aquest títol.

2. Les resolucions de l’Agència de Protecció de Dades o l’òrgan corres-ponent de la comunitat autònoma exhaureixen la via administrativa.

67

Article 49Potestat d’immobilització de fitxers

En els supòsits, constitutius d’infracció molt greu, d’utilització o ces-sió il·lícita de les dades de caràcter personal en què s’impedeixi greumento s’atempti de la mateixa manera contra l’exercici dels drets dels ciutadansi el lliure desenvolupament de la personalitat que la Constitució i les lleisgaranteixen, el director de l’Agència de Protecció de Dades, a més d’exercirla potestat sancionadora, pot requerir als responsables de fitxers de dadesde caràcter personal, tant de titularitat pública com privada, la cessació enla utilització o la cessió il·lícita de les dades. Si el requeriment és desatès,l’Agència de Protecció de Dades pot immobilitzar aquests fitxers, mitjan-çant resolució motivada, als únics efectes de restaurar els drets de les per-sones afectades.

DISPOSICIÓ ADDICIONAL PRIMERA

Fitxers preexistents

Els fitxers i els tractaments automatitzats inscrits o no en el RegistreGeneral de Protecció de Dades s’han d’adequar a aquesta Llei orgànica dinsel termini de tres anys, a comptar des de la seva entrada en vigor. En aquesttermini, els fitxers de titularitat privada han de ser comunicats a l’Agènciade Protecció de Dades i les administracions públiques, responsables de fit-xers de titularitat pública, han d’aprovar la disposició pertinent de regula-ció del fitxer o adaptar l’existent.

En el cas de fitxers i tractaments no automatitzats, la seva adequació aaquesta Llei orgànica i l’obligació que preveu el paràgraf anterior s’han decomplir en el termini de dotze anys a comptar des del 24 d’octubre de 1995,sens perjudici de l’exercici dels drets d’accés, rectificació i cancel·lació perpart dels afectats.

DISPOSICIÓ ADDICIONAL SEGONA

Fitxers i Registre de població de les administracions públiques1. L’Administració General de l’Estat i les administracions de les comu-

nitats autònomes poden sol·licitar a l’Institut Nacional d’Estadística, sense elconsentiment de l’interessat, una còpia actualitzada del fitxer format amb lesdades del nom, els cognoms, el domicili, el sexe i la data de naixement queconsten en els padrons municipals d’habitants i en el cens electoral corres-ponents en els territoris on exerceixin les seves competències, per a la cre-ació de fitxers o registres de població.

2. Els fitxers o els registres de població tenen com a finalitat la comunicaciódels diferents òrgans de cada Administració pública amb els interessats residents

68

en els territoris respectius, respecte a les relacions juridicoadministratives deri-vades de les competències respectives de les administracions públiques.

DISPOSICIÓ ADDICIONAL TERCERA

Tractament dels expedients de les derogades lleis de vagabunds i malfactorsi de perillositat i rehabilitació social

Els expedients específicament instruïts a l’empara de les derogades lleisde vagabunds i malfactors, i de perillositat i rehabilitació social, que contin-guin dades de qualsevol índole susceptibles d’afectar la seguretat, l’honor, laintimitat o la imatge de les persones, no poden ser consultats sense que hihagi consentiment exprés dels afectats, o hagin transcorregut cinquanta anysdes de la data d’aquells.

En aquest últim cas, l’Administració General de l’Estat, llevat que hi hagiconstància expressa de la mort dels afectats, ha de posar a disposició delsol·licitant la documentació, i suprimir-hi les dades esmentades en el parà-graf anterior, mitjançant la utilització dels procediments tècnics pertinentsen cada cas.

DISPOSICIÓ ADDICIONAL QUARTA

Modificació de l’article 112.4 de la Llei general tributària

L’apartat quart de l’article 112 de la Llei general tributària passa a tenirla redacció següent:

“4. La cessió d’aquelles dades de caràcter personal, objecte de tractament,que s’ha de fer a l’Administració tributària d’acord amb el que disposen l’ar-ticle 111, els apartats anteriors d’aquest article o una altra norma de rang le-gal, no requereix el consentiment de l’afectat. En aquest àmbit tampoc no ésaplicable el que, respecte a les administracions públiques, estableix l’apartat 1de l’article 21 de la Llei orgànica de protecció de dades de caràcter personal.”

DISPOSICIÓ ADDICIONAL CINQUENA

Competències del defensor del Poble i òrgans autonòmics semblants

El que disposa aquesta Llei orgànica s’entén sens perjudici de les com-petències del defensor del Poble i dels òrgans anàlegs de les comunitatsautònomes.

DISPOSICIÓ ADDICIONAL SISENA

Modificació de l’article 24.3 de la Llei d’ordenació i supervisióde les assegurances privades

Es modifica l’article 24.3, paràgraf 2n de la Llei 30/1995, de 8 de novem-

69

bre, d’ordenació i supervisió de les assegurances privades, amb la redacciósegüent:

“Les entitats asseguradores poden establir fitxers comuns que continguindades de caràcter personal per a la liquidació de sinistres i la col·laboracióestadística actuarial amb la finalitat de permetre la tarifació i la selecció deriscos i l’elaboració d’estudis de tècnica asseguradora. La cessió de dades alsfitxers esmentats no requereix el consentiment previ de l’afectat, però sí lacomunicació a aquest de la possible cessió de les seves dades personals afitxers comuns per a les finalitats assenyalades amb indicació expressa delresponsable perquè es puguin exercir els drets d’accés, rectificació i cancel·la-ció que preveu la llei.

”També es poden establir fitxers comuns la finalitat dels quals sigui pre-venir el frau en l’assegurança sense que sigui necessari el consentiment del’afectat. No obstant això, en aquests casos és necessària la comunicació al’afectat, en la primera introducció de les seves dades, de qui sigui el respon-sable del fitxer i de les formes d’exercici dels drets d’accés, rectificació icancel·lació.

”En tot cas, les dades relatives a la salut només poden ser objecte detractament amb el consentiment exprés de l’afectat.”

DISPOSICIÓ TRANSITÒRIA PRIMERA

Tractaments creats per convenis internacionals

L’Agència de Protecció de Dades és l’organisme competent per a la pro-tecció de les persones físiques pel que fa al tractament de dades de caràcterpersonal respecte dels tractaments establerts en qualsevol conveni interna-cional del qual Espanya sigui part que atribueixi aquesta competència a unaautoritat nacional de control, mentre no es creï una autoritat diferent per aaquesta comesa en desplegament del conveni.

DISPOSICIÓ TRANSITÒRIA SEGONA

Utilització del cens promocional

S’han de desplegar per reglament els procediments de formació del censpromocional, d’oposició a constar-hi, de posada a disposició dels sol·licitantsi de control de les llistes difoses. El reglament ha d’establir els terminis pera la posada en operació del cens promocional.

DISPOSICIÓ TRANSITÒRIA TERCERA

Subsistència de normes preexistents

Fins que no es portin a terme les previsions de la disposició final primerad’aquesta Llei, continuen en vigor, amb el seu propi rang, les normes regla-

70

mentàries existents i, especialment, els reials decrets 428/1993, de 26 demarç; 1332/1994, de 20 de juny, i 994/1999, d’11 de juny, mentre no s’oposina aquesta Llei.

DISPOSICIÓ DEROGATÒRIA ÚNICA

Derogació normativa

Queda derogada la Llei orgànica 5/1992, de 29 d’octubre, de regulaciódel tractament automatitzat de les dades de caràcter personal.

DISPOSICIÓ FINAL PRIMERA

Habilitació per al desplegament reglamentari

El Govern ha d’aprovar, o modificar, les disposicions reglamentàriesnecessàries per a l’aplicació i el desplegament d’aquesta Llei.

DISPOSICIÓ FINAL SEGONA

Preceptes amb caràcter de llei ordinària

Els títols IV, VI excepte l’últim incís del paràgraf 4 de l’article 36 i VIId’aquesta Llei, la disposició addicional quarta, la disposició transitòria pri-mera i la final primera tenen el caràcter de Llei ordinària.

DISPOSICIÓ FINAL TERCERA

Entrada en vigor

Aquesta Llei entra en vigor en el termini d’un mes, a comptar de la pu-blicació en el Butlletí Oficial de l’Estat.

Per tant,

Mano a tots els espanyols, particulars i autoritats, que compleixin aques-ta Llei orgànica i que la facin complir.

Madrid, 13 de desembre de 1999

JUAN CARLOS R.

El president del Govern,JOSÉ MARÍA AZNAR LÓPEZ

A3 14.- Reial Decret 994/1999, d’11 de juny, pel qual s’aprova el Reglament de Mesures de Seguretat dels Fitxers Automatitzats que Continguin Dades de Caràcter Personal

LEGISLACIÓSOBRE

PROTECCIÓ DE DADES

Generalitat de CatalunyaAgència Catalana de Protecció de Dades

Col·lecció Quaderns de legislació, 48

71

REIAL DECRET 994/1999, D’11 DE JUNY,PEL QUAL S’APROVA EL REGLAMENT DE MESURESDE SEGURETAT DELS FITXERS AUTOMATITZATSQUE CONTINGUIN DADES DE CARÀCTER PERSONAL(BOE núm. 151, de 25.6.1999, edició catalana en el suplement núm. 11,de 24.7.1999)

L’article 18.4 de la Constitució espanyola estableix que «la llei ha de li-mitar l’ús de la informàtica per garantir l’honor i la intimitat personal i fa-miliar dels ciutadans i l’exercici ple dels seus drets».

La Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractamentautomatitzat de dades de caràcter personal, preveu, en l’article 9, l’obliga-ció del responsable del fitxer d’adoptar les mesures d’índole tècnica i or-ganitzatives que garanteixin la seguretat de les dades de caràcter personali n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, teninten compte l’estat de la tecnologia, la naturalesa de les dades emmagatzema-des i els riscos a què estan exposats, tant si provenen de l’acció humana odel mitjà físic o natural, i l’article 43.3.h) estableix que mantenir els fitxers,els locals, els programes o els equips que continguin dades de caràcter per-sonal sense les degudes condicions de seguretat que per la via reglamentà-ria es determinin constitueix una infracció greu en els termes que preveu lamateixa Llei.

Tanmateix, la falta de desplegament reglamentari ha impedit de dispo-sar d’un marc de referència perquè els responsables promoguin les mesuresde seguretat adequades i, en conseqüència, ha determinat la impossibilitat defer complir un dels principis més importants de la Llei orgànica.

Aquest Reglament té com a objecte el desplegament del que disposen elsarticles 9 i 43.3.h) de la Llei orgànica 5/1992. El Reglament determina lesmesures d’índole tècnica i organitzativa que garanteixin la confidencialitati la integritat de la informació amb la finalitat de preservar l’honor, la in-timitat personal i familiar i l’exercici ple dels drets personals en cas d’alte-ració, pèrdua, tractament o accés no autoritzat.

Les mesures de seguretat que s’estableixen es configuren com a les bà-siques de seguretat que han de complir tots els fitxers que continguin dadesde caràcter personal, sens perjudici d’establir mesures especials per als fit-xers que per la naturalesa especial de les dades que contenen o per les ma-teixes característiques de les dades exigeixen un grau de protecció més gran.

En virtut d’això, a proposta de la ministra de Justícia, d’acord amb elConsell d’Estat, i amb la deliberació prèvia del Consell de Ministres en lareunió del dia 11 de juny de 1999,

72

DISPOSO:

Article únicAprovació del Reglament

S’aprova el Reglament de mesures de seguretat dels fitxers automatitzatsque continguin dades de caràcter personal, el text del qual s’insereix totseguit.

DISPOSICIÓ FINAL ÚNICA

Entrada en vigor

Aquest Reial decret entra en vigor l’endemà de la publicació en el But-lletí Oficial de l’Estat.

Madrid, 11 de juny de 1999

JUAN CARLOS R.

La ministra de Justícia,MARGARITA MARISCAL DE GANTE Y MIRÓN

REGLAMENTde mesures de seguretat dels fitxers automatitzats que continguin dadesde caràcter personal

CAPÍTOL IDisposicions generals

Article 1Àmbit d’aplicació i finalitats

Aquest Reglament té com a objecte establir les mesures d’índole tècni-ca i organitzatives necessàries per garantir la seguretat que han de reunir elsfitxers automatitzats, els centres de tractament, locals, equips, sistemes, pro-grames i persones que intervinguin en el tractament automatitzat de lesdades de caràcter personal subjectes al règim de la Llei orgànica 5/1992, de29 d’octubre, de regulació del tractament automatitzat de les dades de caràc-ter personal.

73

Article 2Definicions

A efectes d’aquest Reglament, s’entén per:1. Sistemes d’informació: conjunt de fitxers automatitzats, programes,

suports i equips utilitzats per emmagatzemar i tractar dades de caràcter per-sonal.

2. Usuari: subjecte o procés autoritzat per accedir a dades o recursos.3. Recurs: qualsevol part component d’un sistema d’informació.4. Accessos autoritzats: autoritzacions concedides a un usuari per a la

utilització dels diversos recursos.5. Identificació: procediment de reconeixement de la identitat d’un usu-

ari.6. Autenticació: procediment de comprovació de la identitat d’un usu-

ari.7. Control d’accés: mecanisme que en funció de la identificació ja au-

tenticada permet d’accedir a dades o recursos.8. Contrasenya: informació confidencial, sovint constituïda per una ca-

dena de caràcters, que es pot fer servir en l’autenticació d’un usuari.9. Incidència: qualsevol anomalia que afecta o pot afectar la seguretat

de les dades.10. Suport: objecte físic susceptible de ser tractat en un sistema d’infor-

mació i sobre el qual es pot gravar o del qual es poden recuperar dades.11. Responsable de seguretat: persona o persones a les quals el respon-

sable del fitxer ha assignat formalment la funció de coordinar i controlar lesmesures de seguretat aplicables.

12. Còpia de seguretat: còpia de les dades d’un fitxer automatitzat en unsuport que en possibiliti la recuperació.

Article 3Nivells de seguretat

1. Les mesures de seguretat exigibles es classifiquen en tres nivells: bà-sic, mitjà i alt.

2. Aquests nivells s’estableixen d’acord amb la naturalesa de la informa-ció tractada, en relació amb la major o menor necessitat de garantir la con-fidencialitat i la integritat de la informació.

Article 4Aplicació dels nivells de seguretat

1. Tots els fitxers que continguin dades de caràcter personal han d’adop-tar les mesures de seguretat qualificades de nivell bàsic.

74

2. Els fitxers que continguin dades relatives a la comissió d’infraccionsadministratives o penals, hisenda pública, serveis financers i els fitxers ambun funcionament que es regeixi per l’article 28 de la Llei orgànica 5/1992,han de reunir, a més de les mesures de nivell bàsic, les qualificades de ni-vell mitjà.

3. Els fitxers que continguin dades d’ideologia, religió, creences, origenracial, salut o vida sexual, com també els que continguin dades sol·licitadesper a finalitats policials sense el consentiment de les persones afectades hande tenir, a més de les mesures de nivell bàsic i mitjà, les qualificades de nivellalt.

4. Si els fitxers contenen un conjunt de dades de caràcter personal su-ficients que permetin d’obtenir una avaluació de la personalitat de l’individuhan de garantir les mesures de nivell mitjà que estableixen els articles 17, 18,19 i 20.

5. Cada un dels nivells descrits anteriorment tenen la condició de mí-nims exigibles, sens perjudici de les disposicions legals o reglamentàries es-pecífiques vigents.

Article 5Accés a dades per mitjà de xarxes de comunicacions

Les mesures de seguretat exigibles als accessos a dades de caràcter per-sonal per mitjà de xarxes de comunicacions han de garantir un nivell deseguretat equivalent al corresponent als accessos de manera local.

Article 6Règim de treball fora dels locals de la ubicació del fitxer

L’execució de tractament de dades de caràcter personal fora dels localsde la ubicació del fitxer ha de ser autoritzada expressament pel responsabledel fitxer i, en tot cas, s’ha de garantir el nivell de seguretat corresponent altipus de fitxer tractat.

Article 7Fitxers temporals

1. Els fitxers temporals han de complir el nivell de seguretat que els cor-respongui d’acord amb els criteris que estableix aquest Reglament.

2. Qualsevol fitxer temporal ha de ser esborrat quan deixa de ser neces-sari per a les finalitats que n’hagin motivat la creació.

75

CAPÍTOL IIMesures de seguretat de nivell bàsic

Article 8Document de seguretat

1. El responsable del fitxer ha d’elaborar i implantar la normativa deseguretat mitjançant un document de compliment obligatori per al personalamb accés a les dades automatitzades de caràcter personal i als sistemesd’informació.

2. El document ha de contenir, com a mínim, els aspectes següents:a) Àmbit d’aplicació del document amb especificació detallada dels re-

cursos protegits.b) Mesures, normes, procediments, regles i estàndards destinats a garan-

tir el nivell de seguretat que exigeix aquest Reglament.c) Funcions i obligacions del personal.d) Estructura dels fitxers amb dades de caràcter personal i descripció dels

sistemes d’informació que els tracten.e) Procediment de notificació, gestió i resposta davant les incidències.f) Els procediments de realització de còpies de seguretat i de recupera-

ció de les dades.3. El document s’ha de mantenir sempre actualitzat i ha de ser revisat

quan es produeixin canvis rellevants en el sistema d’informació o en la sevaorganització.

4. El contingut del document s’ha d’adequar, en tot moment, a les dis-posicions vigents en matèria de seguretat de les dades de caràcter personal.

Article 9Funcions i obligacions del personal

1. Les funcions i les obligacions de cada una de les persones amb accésa les dades de caràcter personal i als sistemes d’informació estan claramentdefinides i documentades, d’acord amb el que preveu l’article 8.2.c).

2. El responsable del fitxer ha d’adoptar les mesures necessàries perquèel personal conegui les normes de seguretat que afecten l’exercici de les sevesfuncions, com també les conseqüències en què pugui incórrer en cas d’in-compliment.

Article 10Registre d’incidències

El procediment de notificació i gestió d’incidències ha de contenir neces-sàriament un registre en què es faci constar el tipus d’incidència, el moment

76

en què s’ha produït, la persona que fa la notificació, a qui es comunica i elsefectes que en derivin.

Article 11Identificació i autenticació

1. El responsable del fitxer s’encarrega que hi hagi una relació actualit-zada d’usuaris que tinguin accés autoritzat al sistema d’informació i d’establirprocediments d’identificació i autenticació per a aquest accés.

2. Si el mecanisme d’autenticació es basa en l’existència de contrase-nyes, hi ha d’haver un procediment d’assignació, distribució i emmagatze-mament que en garanteixi la confidencialitat i la integritat.

3. Les contrasenyes s’han de canviar amb la periodicitat que determiniel document de seguretat i mentre estiguin vigents s’han d’emmagatzemar demanera inintel·ligible.

Article 12Control d’accés

1. Els usuaris tenen accés autoritzat únicament a les dades i els recur-sos que requereixin per a l’exercici de les seves funcions.

2. El responsable del fitxer ha d’establir mecanismes per evitar que unusuari pugui accedir a dades o recursos amb drets diferents dels autoritzats.

3. La relació d’usuaris a què es refereix l’article 11.1 d’aquest Reglamentha de contenir l’accés autoritzat per a cadascun d’ells.

4. Exclusivament el personal autoritzat per fer-ho en el document deseguretat pot concedir, alterar o anullar l’accés autoritzat sobre les dades iels recursos, d’acord amb els criteris que estableixi el responsable del fitxer.

Article 13Gestió de suports

1. Els suports informàtics que continguin dades de caràcter personal hande permetre d’identificar el tipus d’informació que contenen, ser inventariatsi emmagatzemar-se en un lloc amb accés restringit al personal autoritzat perfer-ho en el document de seguretat.

2. La sortida de suports informàtics que continguin dades de caràcterpersonal, fora dels locals en què estigui ubicat el fitxer, només pot ser au-toritzada pel responsable del fitxer.

Article 14Còpia de seguretat i recuperació

1. El responsable de fitxer s’encarrega de verificar la definició i l’apli-

77

cació correcta dels procediments de realització de còpies de seguretat i de re-cuperació de les dades.

2. Els procediments establerts per fer còpies de seguretat i per recupe-rar les dades han de garantir-ne la reconstrucció en l’estat en què estaven enel moment de produir-se la pèrdua o la destrucció.

3. S’han de fer còpies de seguretat com a mínim setmanalment, llevatque en aquest període no s’hagi produït cap actualització de les dades.

CAPÍTOL IIIMesures de seguretat de nivell mitjà

Article 15Document de seguretat

El document de seguretat ha de contenir, a més del que disposa l’article8 d’aquest Reglament, la identificació del responsable o els responsables deseguretat, els controls periòdics que s’hagin de fer per verificar el complimentdel que disposa el mateix document i les mesures que calgui adoptar quanun suport hagi de ser rebutjat o reutilitzat.

Article 16Responsable de seguretat

El responsable del fitxer ha de designar un o diversos responsables deseguretat encarregats de coordinar i controlar les mesures definides en eldocument de seguretat. En cap cas aquesta designació suposa una delegacióde la responsabilitat que correspon al responsable del fitxer d’acord ambaquest Reglament.

Article 17Auditoria

1. Els sistemes d’informació i les instal·lacions de tractament de dadess’han de sotmetre a una auditoria interna o externa que verifiqui el compli-ment d’aquest Reglament, dels procediments i les instruccions vigents enmatèria de seguretat de dades, com a mínim, cada dos anys.

2. L’informe d’auditoria ha d’emetre dictamen sobre l’adequació de lesmesures i els controls a aquest Reglament, identificar-ne les deficiències iproposar les mesures correctores o complementàries necessàries. També had’incloure les dades, els fets i les observacions en què es basin els dictàmensfets i les recomanacions proposades.

3. Els informes d’auditories han de ser analitzats pel responsable de se-guretat competent, que ha d’elevar les conclusions al responsable del fitxer

78

perquè adopti les mesures correctores adequades, i queden a disposició del’Agència de Protecció de Dades.

Article 18Identificació i autenticació

1. El responsable del fitxer estableix un mecanisme que permeti la iden-tificació de manera inequívoca i personalitzada de tots els usuaris que inten-tin accedir al sistema d’informació i la verificació que està autoritzat.

2. Es limita la possibilitat d’intentar reiteradament l’accés no autoritzatal sistema d’informació.

Article 19Control d’accés físic

Exclusivament el personal autoritzat en el document de seguretat pottenir accés als locals on es trobin ubicats els sistemes d’informació ambdades de caràcter personal.

Article 20Gestió de suports

1. S’ha d’establir un sistema de registre d’entrada de suports informàticsque permeti, directament o indirecta, de conèixer el tipus de suport, la datai l’hora, l’emissor, el nombre de suports, el tipus d’informació que contenen,la forma d’enviament i la persona responsable de la recepció que ha d’estardegudament autoritzada.

2. També s’ha de disposar d’un sistema de registre de sortida de suportsinformàtics que permeti, directament o indirecta, de conèixer el tipus desuport, la data i l’hora, el destinatari, el nombre de suports, el tipus d’infor-mació que contenen, la forma d’enviament i la persona responsable del lliu-rament que ha d’estar degudament autoritzada.

3. Quan un suport hagi de ser rebutjat o reutilitzat, s’han d’adoptar lesmesures necessàries per impedir qualsevol recuperació posterior de la infor-mació emmagatzemada, abans de procedir a donar-lo de baixa en l’inven-tari.

4. Quan el suports hagin de sortir fora dels locals en què estiguin ubi-cats els fitxers com a conseqüència d’operacions de manteniment, s’hand’adoptar les mesures necessàries per impedir qualsevol recuperació indegudade la informació emmagatzemada.

79

Article 21Registre d’incidències

1. En el registre que regula l’article 10 s’han de consignar, a més, elsprocediments efectuats de recuperació de les dades, i indicar la persona quehagi executat el procés, les dades restaurades i, si s’escau, quines dades s’hanhagut de gravar manualment en el procés de recuperació.

2. Cal l’autorització per escrit del responsable del fitxer per a l’execuciódels procediments de recuperació de les dades.

Article 22Proves amb dades reals

Les proves anteriors a la implantació o modificació dels sistemes d’in-formació que tractin fitxers amb dades de caràcter personal no s’han de feramb dades reals, llevat que s’asseguri el nivell de seguretat corresponent altipus de fitxer tractat.

CAPÍTOL IVMesures de seguretat de nivell alt

Article 23Distribució de suports

La distribució dels suports que continguin dades de caràcter personals’ha de fer xifrant les dades esmentades o bé utilitzant qualsevol altre me-canisme que garanteixi que aquesta informació no sigui intel·ligible ni ma-nipulada durant el transport.

Article 24Registre d’accessos

1. De cada accés s’ha de guardar, com a mínim, la identificació de l’usuari,la data i l’hora en què s’hagi fet, el fitxer a què s’ha accedit, el tipus d’ac-cés i si ha estat autoritzat o denegat.

2. En cas que l’accés hagi estat autoritzat, cal guardar la informació quepermeti d’identificar el registre a què s’ha accedit.

3. Els mecanismes que permeten el registre de les dades detallades en elsparàgrafs anteriors estan sota el control directe del responsable de segure-tat competent sense que s’hagi de permetre, en cap cas, de desactivar-los.

4. El període mínim de conservació de les dades registrades és de dosanys.

80

5. El responsable de seguretat competent s’encarrega de revisar periò-dicament la informació de control registrada i ha d’elaborar un informe deles revisions efectuades i dels problemes detectats una vegada cada mes coma mínim.

Article 25Còpies de seguretat i recuperació

S’ha de conservar una còpia de seguretat i dels procediments de recupe-ració de les dades en un lloc diferent d’aquell en què es trobin els equipsinformàtics que els tracten i complir, en tot cas, les mesures de seguretat queexigeix aquest Reglament.

Article 26Telecomunicacions

La transmissió de dades de caràcter personal per mitjà de xarxes de te-lecomunicacions s’ha de fer xifrant les dades esmentades o bé utilitzantqualsevol altre mecanisme que garanteixi que la informació no sigui intel·li-gible ni manipulada per tercers.

CAPÍTOL VInfraccions i sancions

Article 27Infraccions i sancions

1. L’incompliment de les mesures de seguretat descrites en aquest Regla-ment és sancionat d’acord amb el que estableixen els articles 43 i 44 de laLlei orgànica 5/1992, quan es tracti de fitxers de titularitat privada.

El procediment que s’ha de seguir per a la imposició de la sanció a quèes refereix el paràgraf anterior és el que estableix el Reial decret 1332/1994,de 20 de juny, pel qual es despleguen determinats aspectes de la Llei orgà-nica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de lesdades de caràcter personal.

2. Quan es tracti de fitxers dels quals siguin responsables les adminis-tracions públiques cal atenir-se, pel que fa al procediment i a les sancions,al que disposa l’article 45 de la Llei orgànica 5/1992.

Article 28Responsables

Els responsables dels fitxers, subjectes al règim sancionador de la Lleiorgànica 5/1992, han d’adoptar les mesures d’índole tècnica i organitzatives

81

necessàries que garanteixin la seguretat de les dades de caràcter personal enels termes que estableix aquest Reglament.

CAPÍTOL VICompetències del director de l’Agència de Protecció de Dades

Article 29Competències del director de l’Agència de Protecció de Dades

De conformitat amb el que estableix l’article 36 de la Llei orgànica 5/1992, el director de l’Agència de Protecció de Dades pot:

1. Dictar, si s’escau i sens perjudici de les competències d’altres òrgans,les instruccions necessàries per adequar els tractaments automatitzats alsprincipis de la Llei orgànica 5/1992.

2. Ordenar el cessament dels tractaments de dades de caràcter personali la cancel·lació dels fitxers quan no es compleixin les mesures de seguretatprevistes en aquest Reglament.

DISPOSICIÓ TRANSITÒRIA ÚNICA

Terminis d’implantació de les mesures

En el cas de sistemes d’informació que estiguin en funcionament a l’en-trada en vigor d’aquest Reglament, les mesures de seguretat de nivell bàsicque preveu aquest Reglament s’han d’implantar en el termini de sis mesosdes de la seva entrada en vigor, les de nivell mitjà en el termini d’un any iles de nivell alt en el termini de dos anys.

Quan els sistemes d’informació que estiguin en funcionament no perme-tin tecnològicament la implantació d’alguna de les mesures de seguretat quepreveu aquest Reglament, l’adequació d’aquests sistemes i la implantació deles mesures de seguretat s’han de fer en el termini màxim de tres anys acomptar des de l’entrada en vigor d’aquest Reglament.

departament d’educació llicències d’estudi. curs 2006 - 07 ... · relacionats amb la...

Documents