la protecciÓn de datos aplicada al sector...

- 1 – NCB FORMACIÓN C/ Miguel Angel Riera 14 JOSE LUIS CÓRCOLES TERCERO 07004 Palma de Mallorca CIF: 34.067.831-R Tlf. 971 75 01 40 Fax 971 75 18 01

LA PROTECCIÓN DE DATOS APLICADA AL SECTOR TURÍSTICO


INDICE

1. Introducción

1.1 Introducción a la LOPD. 1.2 Ámbito de aplicación (Art. 2) 1.3 Definiciones

2. El ámbito jurídico de la LOPD

2.1 Conceptos básicos 2.2 Principios fundamentales 2.3 Los derechos de las personas 2.4 Ficheros de titularidad privada 2.5 Transferencia Internacional de Datos

3. Ámbito de Seguridad de la LOPD 3.1 Determinación del nivel de seguridad

3.2 Medidas de seguridad 3.3 Infracciones y sanciones

4. Aplicación de la LOPD en empresas privadas del sector turístico

4.1 Importancia de la información tratada en el sector turístico 4.2 Responsables y encargados de tratamientos de los datos personales. 4.3 Tipos de ficheros en el sector turístico 4.4 Información tratada por las cadenas hoteleras 4.5 Recomendaciones respecto LOPD y RLOPD 4.5. Medidas específicas para entidades turísticas que traten datos de nive medio y/o alto

5. Caso práctico


1. Introducción

1.1 Introducción a la LOPD. ¿Qué es la protección de datos? La protección de datos es una disciplina jurídica que tiene por objeto proteger la intimidad y demás derechos fundamentales de las personas físicas frente al riesgo que para ellos supone la recopilación y el uso indiscriminado de sus datos personales, entendiendo como tales a toda aquella información que forma parte de su esfera privada y que puede ser utilizada para evaluar determinados aspectos de su personalidad (hábitos de compra, relaciones personales, creencias etc.) Aunque la protección de datos abarca a todo tipo de tratamiento de datos de carácter personal (independientemente que se realice de manera manual o informatizada), lo cierto es que ha sido la informática la que al permitir recoger, utilizar y transmitir fácilmente todo tipo de información ha generado la necesidad de desarrollar toda una serie de normas destinadas a limitar el uso de los datos personales para garantizar con ello el honor y la intimidad personal y familiar de los ciudadanos. Marco jurídico de la protección de datos • Constitución. Articulo 18.4 de la Constitución Española de 1978. • Directiva. Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre

de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

• Ley Orgánica. Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de

carácter personal. • Reglamento. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el

Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

• Instrucciones de la Agencia Española de Protección de Datos. Una de las funciones

de la Agencia es dictar las instrucciones precisas para adecuar los tratamientos a los principios de la Ley Orgánica de Protección de Datos. Se puede acceder a dichas instrucciones a través del "canal de documentación/ legislación" de la página web de la Agencia.


¿Qué es la Ley Orgánica de Protección de Datos? La ley orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, más conocida como Lopd, es la norma que, desde el 14 de Enero del año 2000, regula en España el régimen jurídico aplicable al tratamiento de los denominados “datos de carácter personal” (aquellos datos que hacen referencia a una persona física identificada o identificable tales como su nombre y apellidos, DNI, dirección, huella, imagen, voz etc.), estableciendo las condiciones en que se deben recoger, tratar y ceder este tipo de datos para no perjudicar con ello los derechos fundamentales y libertades públicas de los ciudadanos, especialmente su derecho al honor e intimidad personal y familiar. Aprobación, Publicación y entrada en vigor La ley orgánica de Protección de Datos de Carácter Personal (LOPD) fue aprobada el 13 de diciembre de 1999, se publicó en el Boletín Oficial del Estado el 14 de diciembre de 1999 (Boe nº298) y entró en vigor el 14 de Enero del año 2000 Tras la entrada en vigor de la LOPD se derogo la ley que hasta ese momento regulaba en España el tratamiento automatizado de datos de carácter personal (la conocida como Lortad). Con la entrada en vigor de la Lopd, se adaptó definitivamente la legislación española a los requisitos exigidos por la Directiva 95/46/CE para todos los Estados Miembro de la Unión Europea Objetivo LOPD La ley orgánica de protección de datos regula como se deben recoger, tratar y ceder este tipo de datos con el único objeto de “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.

1.2 Ámbito de aplicación La Ley Orgánica de Protección de datos será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado, en los siguientes supuestos:

• Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.


• Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

• Cuando el responsable del tratamiento no esté establecido en territorio de la Unión

Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Datos excluidos de la aplicación de la LOPD

Existen determinados datos de carácter personal que, a pesar de hacer referencia a una persona física determinada, se encuentran excluidos del ámbito de aplicación de la Lopd, dichos datos son los siguientes:

• Datos referidos a personas jurídicas y las personas de contacto. La Lopd no se aplica a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

• Datos relativos a empresarios individuales. La Lopd no se aplica a los

tratamientos de datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.

• Datos relativos a personas fallecidas. La Lopd no se aplica a los tratamientos de

datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos

Ficheros excluidos en la aplicación de la LOPD El régimen de protección de los datos de carácter personal establecido en la Ley Orgánica de Protección de Datos no será de aplicación a los siguientes ficheros:

• A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas (sólo se considerarán relacionados con actividades personales o domésticas los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares).

• A los ficheros sometidos a la normativa sobre protección de materias clasificadas.


• A los ficheros establecidos para la investigación del terrorismo y de formas graves

de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos.

1.3 Definiciones A los efectos previstos en el Reglamente de desarrollo de la LOPD se entenderá por: a) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento. c) Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una persona distinta del interesado. d) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. e) Dato disociado: aquél que no permite la identificación de un afectado o interesado. f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. g) Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. h) Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. i) Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.


j) Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero. k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. l) Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica. m) Ficheros de titularidad pública: los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. n) Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. ñ) Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero. o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. p) Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados. q) Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.


r) Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. s) Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. t) Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 2. En particular, en relación con lo dispuesto en el título VIII del RLOPD se entenderá por: a) Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad. b) Autenticación: procedimiento de comprobación de la identidad de un usuario. c) Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso. d) Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. e) Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. f) Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada. g) Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. h) Identificación: procedimiento de reconocimiento de la identidad de un usuario. i) Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.


j) Perfil de usuario: accesos autorizados a un grupo de usuarios. k) Recurso: cualquier parte componente de un sistema de información. l) Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. m) Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. n) Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados. ñ) Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. o) Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo. p) Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.


2. El ámbito jurídico de la LOPD

2.1 Conceptos básicos

¿Qué son los datos de carácter personal? Los datos de carácter personal están definidos legalmente como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”. Como se desprende de esta definición, cuando la ley habla de datos de carácter personal no solo hace referencia al nombre y apellidos de las personas, sino que, de manera muy amplia, incluye cualquier tipo de información (DNI, fotografías, voz, videos, huellas etc.) siempre que haga referencia a una persona física identificada o identificable.

Personas físicas identificadas o identificables

Para comprender mejor el concepto de datos de carácter personal debemos entender a que se refiere la Ley Orgánica de Protección de Datos cuando habla de “...información concerniente a personas físicas identificadas o identificables”: • Información concerniente a una persona identificada. Se considera que una

información hace referencia a una persona física identificada cuando nos indica directamente a que persona se refiere sin necesidad de que tengamos que realizar ningún tipo de averiguación posterior. Por ejemplo el Documento Nacional de Identidad (DNI), que está considerado como dato de carácter personal porque la información que contiene identifica perfectamente a una persona física determinada.

• Información concerniente a una persona identificable. Se considera que una

información hace referencia a una persona física cuando a priori no nos indica a que persona se refiere pero nos aporta información suficiente para poder llegar a averiguar su identidad. El ejemplo más claro lo tenemos en el ADN, que sabemos que contiene información genética concerniente a una persona concreta pero no sabremos de quien se trata hasta que no lo sometamos al procedimiento adecuado. El reglamento que desarrolla la Lopd (Real Decreto 1720/2007) considera como “persona identificable” a “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”


Tipos de datos de carácter personal

Existen diversos tipos de datos de carácter personal, al realizar la inscripción de los ficheros la Agencia Española de Protección de Datos tipifica como datos de carácter personal más habituales los siguientes: • Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias,

origen racial o étnico, salud y vida sexual. • Datos de carácter identificativo: Nif/dni, dirección, imagen, voz, Nº Seguridad

Social/mutualidad, teléfono, marcas físicas, nombre y apellidos, firma/huella, firma electrónica, tarjeta sanitaria.

• Datos relativos a las características personales: datos de estado civil, datos de familia,

fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.

• Datos relativos a las circunstancias sociales: Características de alojamiento, vivienda,

situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.

• Datos Académicos y profesionales: Formación, titulaciones, historial del estudiante,

experiencia profesional, pertenencia a colegios o asociaciones profesionales. • Detalles de empleo: Profesión, puestos de trabajo, datos no económicos de nomina,

historial del trabajador. • Datos que aportan Información comercial: Actividades y negocios, licencias

comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.

• Datos económicos, financieros y de seguros: Ingresos, rentas, inversiones, bienes

patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.

• Datos relativos a transacciones de bienes y servicios: Bienes y servicios suministrados

por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones/indemnizaciones.


2.2 Principios fundamentales Calidad de los datos 1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. 2. Los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento. 3. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. 4. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. 5. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16. 6. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos. 6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. 7. Los datos de carácter personal deberán ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.


Supuestos que legitiman el tratamiento o cesión de los datos El artículo 10 del RD 1720/2007, de 21 de diciembre indica: 1. Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el

interesado hubiera prestado previamente su consentimiento para ello 2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin

necesidad del consentimiento del interesado cuando:

a. Lo autorice una norma con rango de Ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los siguientes:

- El tratamiento o la cesión tenga por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD

- El tratamiento o la cesión del os datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

b. Los datos objeto de tratamiento o de cesión figuren en fuentes accesible al público y

el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

No obstante, las Administraciones Públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.

3. Los datos de carácter personal podrán tratarse sin la necesidad del consentimiento del

interesado cuando: a. Se recojan para el ejercicio de las funciones propias de las Administraciones públicas

en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.

b. Se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.

c. El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del apartado 6 del artículo 7 de la LOPD.


4. Será posible la cesión de los datos de carácter personal sin contar con el consentimiento del interesado cuando: a. la cesión responda a la libre y legítima aceptación de una relación jurídica cuyo

desarrollo, cumplimiento y control comporte la comunicación de los datos. En este caso la comunicación sólo será legitima en cuanto se limite a la finalidad que la justifique.

b. La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas y se realice en el ámbito de las funciones que la ley les atribuya expresamente.

c. La cesión entre Administraciones Públicas cuando concurra uno de los siguientes supuestos:

a. Tenga por objeto el tratamiento de los datos con fines históricos, estadísticos o científicos.

b. Los datos de carácter personal hayan sido recogidos o elaborados por una Administración Pública con destino a otra

c. La comunicación se realice para el ejercicio de compentencias idénticas o que versen sobre las mismas materias.

5. Los datos especialmente protegidos podrán tratarse y cederse en los términos previstos

en los artículos 7 y 8 de la LOPD En particular, no será necesario el consentimiento del interesado para la comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de Salud cuando se realice para la atención sanitaria de las personas, conforme a lo dispuesto en el Capitulo V de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud. Deber de secreto Se establece un deber de secreto y de custodia para las personas que participan en un proceso de tratamiento de datos personales. El responsable del fichero y todos los que intervengan en cualquier fase del tratamiento estarán obligados al secreto profesional respecto a los datos de carácter personal que contengan. Para garantizar la confidencialidad, las personas que tienen acceso a los datos de carácter personal deben cumplir siempre las medidas de seguridad a las que estén sujetas según el nivel de protección de datos al que correspondan. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente


tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En dicho contrato deben constar las medidas de seguridad que la persona que realice el tratamiento de los datos de carácter personal, tendrá obligación de implementar. Una vez finalizada la prestación contractual los datos deberán ser destruidos o devueltos a la persona responsable del tratamiento. Obtención del consentimiento del afectado El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo que no sea exigible con arreglo a lo dispuesto en las leyes. La solicitud del consentimiento irá referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad. Para proceder al tratamiento de datos de menores de edad podrá realizarse con su consentimiento salvo en los casos que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela (padres o tutores), en ningún caso se podrán recabar datos que permitan obtener información sobre sus familiares o sobre características del mismo. Se deberá facilitar al interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos (teléfono, envío postal, mail…)

FORMA DE RECABAR EL CONSENTIMIENTO

1. El responsable del tratamiento podrá solicitar el consentimiento del interesado a través del procedimiento establecido en este artículo, salvo cuando la Ley exija al mismo la obtención del consentimiento expreso para el tratamiento de los datos.

2. El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal.

En particular, cuando se trate de responsables que presten al afectado un servicio que genere información periódica o reiterada, o facturación periódica, la comunicación podrá llevarse a cabo de forma conjunta a esta información o a la facturación del servicio prestado, siempre que se realice de forma claramente visible.


3. En todo caso, será necesario que el responsable del tratamiento pueda conocer si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado.

4. Deberá facilitarse al interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. En particular, se considerará ajustado al presente reglamento los procedimientos en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento, la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido.

5. Cuando se solicite el consentimiento del interesado a través del procedimiento establecido en este artículo, no será posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior solicitud.

Deber de información en la recogida de datos personales El deber de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales de los ciudadanos contenidos en la Ley Orgánica 15/1999, por lo tanto si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que se utilice para la recogida. El responsable del fichero deberá informar a los interesados a los que se soliciten datos personales de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento dé datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. En el caso de utilizar cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias descritas anteriormente.


No será necesaria la información a que se refieren las letras b), c) y d) si del contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado arriba descritos. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso. en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

2.3 Los derechos de las personas Impugnación de valoraciones. 1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. 2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad. 3. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto. 4. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.


Derechos de consulta al Registro General de Protección de Datos. Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita. Procedimiento ARCO El procedimiento ARCO permite el ejercicio de los del derechos del interesado Acceso, Rectificación, Cancelación o Oposición Para ejercer estos procedimientos no se exigirá contra prestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación. Derecho de acceso El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes. Derecho de rectificación y cancelación El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.


Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado. Derecho de oposición

El derecho de oposición se encuentra regulado en los artículos 35 a 36 del Reglamento de la Lopd (Real Decreto 1720/2007) y consiste en la facultad que posee el titular de los datos para dirigirse al responsable del fichero y requerirle para que deje de tratar sus de carácter personal en los siguientes supuestos; cuando se están tratando sus datos personales sin su consentimiento (en aquellos casos en los que así lo permite la propia Lopd), cuando el tratamiento de sus datos se realice con fines de publicidad o de prospección comercial, y cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.

2.4 Ficheros de titularidad privada Creación Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la, persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas. Notificación e inscripción registral 1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. 2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.


3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. 4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación. 5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos. Cómo realizar la inscripción de ficheros ad privada La presentación de las solicitudes de inscripción de ficheros podrá realizarse indistintamente en soporte papel, informático o telemático, aunque en cualquiera de los casos, su cumplimentación debe realizarse a través del formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA). Se puede descargar desde la página de la Agencia de Protección de Datos www.agpd.es El formulario interactivo NOTA en formato .pdf permite la presentación de notificaciones a través de Internet con y sin certificado de firma electrónica. El formulario electrónico NOTA incorpora funcionalidades de dinamismo que requieren la instalación de Adobe Reader versión 7 o superior. Pasos para la rellenar el formulario a) Preguntas iniciales del asistente - Tipo de solicitud de inscripción Se debe señalar la casilla que corresponda, en función de si va a notificar una nueva inscripción, una modificación de un fichero que ya figura inscrito en el Registro General de Protección de Datos (RGPD) o una supresión de un fichero que, igualmente, ya figura inscrito en el RGPD. Tanto para notificar una modificación como una supresión, deberá conocer determinados datos de la inscripción del fichero (código de inscripción y CIF del responsable con el que el fichero figura inscrito en el RGPD). - Modelo de declaración Se puede optar por utilizar una de las notificaciones tipo precumplimentadas que aparecen en el formulario o bien por utilizar el formulario electrónico vacío para ser cumplimentado de forma completa por Vd.


- Forma de presentación Se debe señalar la casilla correspondiente a la forma de envío que va a utilizar: - A través de Internet con certificado digital de firma electrónica. - A través de Internet con presentación convencional de la Hoja de solicitud. - Mediante formulario en soporte papel con código de barras bidimensional PDF 417. b) Forma de realizar la notificación Tanto si se selecciona utilizar una notificación tipo como un formulario vacío, se tienen que cumplimentar los apartados del formulario que describan el fichero que va a ser notificado. En este formulario obligatorio, además de la correspondiente Hoja de solicitud, los apartados de:

- Responsable del fichero, - Identificación y finalidad del fichero, - Origen y procedencia de los datos, - Tipos de datos, - Estructura y organización del fichero, - Medidas de seguridad.

Son opcionales los apartados de:

- Derechos de oposición, - Acceso, rectificación y cancelación, - Encargado de tratamiento, - Cesión o comunicación de datos , - Transferencias internacionales.

En todos los apartados se encuentra disponible la ayuda correspondiente a dicho apartado, así como una opción que le permitirá verificar si el mismo ha sido cumplimentado correctamente. c) Cumplimentar y firmar la Hoja de solicitud Una vez que se ha comprobado que los distintos apartados han sido cumplimentados correctamente, deberá cumplimentar la Hoja de solicitud. Para ello deberá pulsar el botón «Generar formulario final» que se encuentra al final del formulario. Deberá indicar los datos identificativos de la persona que firma la solicitud y el cargo o la condición del firmante de esta solicitud en relación con el responsable del fichero. Señale también la dirección completa a efectos de notificaciones. Esta dirección debe cumplimentarse en todos los casos, aún cuando coincida con la del responsable del fichero, entendiendo que la identidad y el domicilio para practicar la notificación de la resolución de inscripción debe de ser la declarada por la persona física que solicita la inscripción, todo ello a tenor del artículo 70 de la Ley 30/1992 de Régimen Jurídico de la Administraciones Públicas y del Procedimiento Administrativo Común.


Si ha optado por presentar la notificación a través de Internet con certificado digital de firma y dispone de una dirección electrónica a efectos de notificaciones del Servicio de Notificaciones Telemáticas Seguras (https://notificaciones.administracion.es/portalciudadano/inicio.asp) podrá indicar este extremo en el apartado de Dirección electrónica servicio de notificaciones, donde se notificarán la inscripción del fichero. En cualquier otro caso, la notificación será realizada a la dirección que a estos efectos se haga constar en el apartado correspondiente de la Hoja de solicitud.

Antes de realizar el envío de la notificación deberá leer y aceptar la información relativa a los deberes que conlleva la firma de la Hoja de solicitud. Por último, si ha optado por presentar la notificación a través de Internet con certificado digital de firma deberá proceder a firmar la notificación mediante su certificado de firma. d) Generar o enviar la notificación Dependiendo de la forma de presentación elegida, la notificación podrá ser presentada a través de los siguientes medios: e) Presentación a través de Internet con certificado de firma reconocido. Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, será necesario indicar al formulario que no se van a realizar más cambios mediante el botón «Finalizar formulario» para proceder a la firma de la notificación. De esta manera el formulario establecerá el control de la integridad de la notificación que se va a enviar. En este momento aparecerá un icono en el lugar previsto para la firma de la persona que efectúa la notificación. Pulsando el icono que aparece, se firmará la notificación con el certificado de firma reconocido correspondiente a la persona que, con representación suficiente del responsable del fichero, formula la notificación. Su sistema le informará de los certificados de firma de los que dispone, ya sea instalados en su navegador o en su tarjeta criptográfica. Una vez firmada, se enviará la notificación mediante el formulario electrónico al Registro Telemático de la AEPD. Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por el mismo medio un mensaje de confirmación de la solicitud, en el que constarán los datos proporcionados por el interesado, junto con la acreditación de la fecha y hora en que produjo la recepción y una clave de identificación de la transmisión. El mensaje de confirmación se configurará de forma que pueda ser impreso o archivado de modo informático por el interesado y que garantizará la identidad del registro y tendrá el valor de recibo de presentación a efectos de lo dispuesto en el artículo 6.3 del Real Decreto 772/1999. La no recepción del mensaje de confirmación, o en su caso, la recepción de un mensaje de indicación de error implica que no se ha producido la recepción del mismo, debiendo realizarse la presentación en otro momento o utilizando otros medios. La presentación de solicitudes, escritos y comunicaciones al Registro Telemático podrá realizarse durante las 24


horas de todos los días del año. A los efectos del cómputo de plazo, la recepción en un día inhábil se entenderá efectuada el primer día hábil siguiente. En este caso, en el asiento de entrada se inscribirán como fecha y hora de presentación aquéllas en que se produjo efectivamente la recepción, constando como fecha y hora de entrada las cero horas y un segundo del primer día hábil siguiente. f) A través de Internet sin certificado de firma electrónica reconocido. Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, deberá enviar la notificación mediante el formulario electrónico pulsando el botón «Generar/Enviar» que se encuentra en la Hoja de solicitud. El formulario le indicará que se está conectando con el servidor de la AEPD y, acto seguido, el sistema le enviará la Hoja de solicitud (en formato PDF) que confirma que la notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la persona que efectúa la notificación, es la que deberá remitir a la AEPD. Cuando la notificación se envíe a través de Internet sin certificado de firma reconocido, no se considerará recibida la notificación efectuada por Internet, sino desde la fecha en la que tenga entrada en la Agencia Española de Protección de Datos la hoja de solicitud firmada de forma manual, careciendo de efecto alguno las notificaciones enviadas por Internet sin certificado de firma reconocido si la hoja de solicitud de inscripción, debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia Española de Protección de Datos o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992. La dirección de la AEPD es: Agencia Española de Protección de Datos c. Jorge Juan, 6 28001- Madrid g) Presentación en papel con código de barras bidimensional PDF 417. Una vez que haya cumplimentado la Hoja de solicitud, para obtener el modelo que puede ser presentado en la AEPD, deberá pulsar el botón «Finalizar formulario» que se encuentra al final de la Hoja de solicitud. En el caso de la presentación en papel, se generará el código de barras bidimensional PDF 417 (nube de puntos), así como el correspondiente código de envío que establece la correspondencia entre el contenido que figura en cada una de las páginas que componen el modelo de notificación y la nube de puntos generada. Este sistema garantizará que la notificación ha sido cumplimentada de forma correcta y que se inscribirá en el RGPD de forma ágil, rápida y segura. Tal y como le informará la siguiente pantalla, asegúrese de que la nube de puntos aparece bien impresa y de que no se relazan marcas sobre ella. En el caso de que tenga que realizar cambios en la notificación, deberá cumplimentar una nueva notificación y generar la correspondiente nube de puntos y código de envío. A continuación se muestra el aspecto que debe tener la Hoja de solicitud después de haber sido generada correctamente. Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, se imprimirá la correspondiente notificación en la que figurará el código de barras bidimensional PDF 417 (nube de puntos) Una vez firmada la Hoja de solicitud por la persona que, con representación suficiente del responsable del fichero, formula la notificación, se presentará en la AEPD o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992.


Modificación de la inscripción Este apartado únicamente se cumplimentará en caso de notificar la modificación de un fichero previamente inscrito en el Registro General de Protección de Datos. Para ello se deberá indicar el código de inscripción del fichero asignado por la Agencia Española de Protección de Datos y los datos identificativos del responsable del fichero, señalando aquellos apartados que se modifican respecto a la notificación anterior. Los apartados señalados que se pretendan modificar deben cumplimentarse por completo, indicando todos los datos y no sólo los modificados respecto a notificaciones previas, ya que esta notificación es sustitutiva a efectos de inscripción en el Registro General de Protección de Datos. Tenga en cuenta que para modificar el NIF/CIF o la denominación social del responsable del fichero, deberá acompañar documentación que justifique el cambio. mediante el formulario NOTA Supresión de la inscripción Este apartado únicamente se cumplimentará en caso de notificar la supresión de un fichero previamente inscrito en el Registro General de Protección de Datos. Para ello se deberá indicar el código de inscripción del fichero asignado por la Agencia Española de Protección de Datos y los datos identificativos del responsable del fichero. Además, debe indicar el motivo de la supresión en el texto correspondiente, y el destino de la información en el siguiente campo. Si va a proceder a destruir el fichero, indique las previsiones adoptadas para ello. Cuando se notifique la supresión de un fichero por responsable distinto del que figura inscrito en el Registro General de Protección de Datos deberá acompañar documentación fehaciente que justifique el cambio del titular. Comunicación de la cesión de datos 1. El responsable del fichero, deberá informar de la cesión de datos a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los. datos que han sido cedidos y el nombre y dirección del cesionario. 2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d), e) y 6 del artículo 11, ni cuando la cesión venga impuesta por ley. Datos incluidos en las fuentes de acceso público 1. Los datos personales que figuren en el censo promocional, o las listas de personas pertenecientes a grupos de profesionales a que se refiere el artículo 3. j) de esta Ley deberán limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.


2. Los interesados tendrán derecho a que la entidad responsable del mantenimiento de los listados de los Colegios profesionales indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial. Los interesados tendrán derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes. La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia deberá realizarse en el plazo de diez días respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite. 3. Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el carácter de fuente accesible con la nueva edición que se publique. En el caso de que se obtenga telematicamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención. 4. Los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica. Prestación de servicios de información sobre solvencia patrimonial y crédito 1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Podrán tratarse también datos de carácter personal, relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. 3. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos. 4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.


Tratamientos con fines de publicidad y de prospección comercial 1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento. 2. Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. 3. En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de sus datos de carácter personal, así como del resto de información a que se refiere el artículo 15. 4. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud. Censo promocional 1. Quienes pretendan realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas, podrán solicitar del Instituto Nacional de Estadística o de los órganos equivalentes de las Comunidades Autónomas una copia del censo promocional, formado con los datos de nombre, apellidos y domicilio que constan en el censo electoral. 2. El uso de cada lista de censo promocional tendrá un plazo de vigencia de un año. Transcurrido el plazo citado, la lista perderá su carácter de fuente de acceso público. 3. Los procedimientos mediante los que los interesados podrán solicitar no aparecer en el censo promocional se regularán reglamentariamente. Entre estas procedimientos, que serán gratuitos para los interesados, se incluirá el documento de empadronamiento. Trimestralmente se editará una lista actualizada del censo promocional, excluyendo los nombres y domicilios de los que así lo hayan solicitado. 4. Se podrá exigir una contraprestación por la facilitación de la citada lista en soporte informático.


Códigos tipo Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación. En el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas, de acuerdo con el artículo 41. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.

2.5 Transferencia Internacional de Datos Qué es la transferencia internacional de datos Se definen como toda transmisión de datos de carácter personal, independientemente de cual sea el medio y/o soporte mediante el cual se envían los datos o la forma del tratamiento, fuera del territorio español. En los ficheros de titularidad privada, los dos casos habituales en los que se producen Transferencias Internacionales de Datos son: - Supuestos de Transferencia Internacional de Datos en el acceso a datos por cuenta de terceros; por ejemplo, en el caso de una página web que recoge datos de carácter personal y los almacena, con la finalidad de proporcionar a los usuarios registrados acceso a funcionalidades específicas, contenidos, áreas de descarga, etc.., y que se encuentra alojadas en un Servidor/Hosting con ubicación física de la máquina fuera de España.


- Supuestos de Transferencia Internacional de Datos por cesión o comunicación de datos; por ejemplo, el caso de una empresa que transfiere los datos de carácter personal de sus ficheros de clientes, proveedores, trabajadores, etc.. a su Empresa matriz con domicilio fuera de España, por motivos de centralización de información, gestión de recursos, procesos de reorganización, etc… Y dentro de estos supuestos, además, debemos tener en cuenta para poder delimitar las obligaciones que se imponen por la ley el país de destino de la Transferencia Internacional de Datos, a efectos de recabar o no la autorización previa del Director de la Agencia Española de Protección de Datos: - Estados Miembros de la Unión Europea, - Estados no comunitarios que ofrecen un nivel de protección y regulación legal similar

al establecido por la LOPD y la Directiva, o - Estados no comunitarios que no ofrecen nivel de protección y regulación legal al

establecido por la LOPD y la Directiva. Requisitos generales Los requisitos generales se establecen en el artículo 33 LOPD y en la Instrucción 1/2000, de 1 de diciembre. El artículo 33 establece que no se podrán realizar Transferencias Internacionales de Datos con destino a países que no proporcionen un nivel de protección equiparable al establecido en la LOPD, sin la previa autorización del Director de la Agencia de Protección de Datos. En principio, los requisitos generales necesarios para poder realizar la Transferencia Internacional de Datos son los siguientes: - Cumplimiento del deber de información y de las obligaciones establecidas por la ley para la cesión de datos (previo consentimiento informado de la cesión, informar a los sujetos sobre la transferencia internacional de datos, tipología de los datos ceditos, finalidad del fichero y la identidad del destinatario) o para el acceso a datos por cuenta de terceros (contrato de acceso a datos). - Notificación de la Transferencia Internacional de Datos a la Agencia Española de Protección de Datos, indicando el país de destino y, en su caso, el supuesto al que se acoge de las excepciones establecidas en el art.34 de la LOPD para que no sea necesaria la autorización previa del Director de la Agencia Española de Protección de Datos. Una vez notificada la Transferencia Internacional, la AEPD podrá solicitar al Responsable del Fichero que aporte documentación complementaria para autorizar dicha Transferencia; principalmente, en relación con el cumplimiento del deber de información, consentimiento de los interesados, existencia de cláusulas contractuales tipo para la cesión y/o acceso por cuenta de terceros, finalidades de la transferencia, etc…


Excepciones previstas El artículo 34 establece las excepciones a los supuestos en los que no será necesaria la previa autorización del Director de la Agencia para la Transferencia Internacional de Datos. Los supuestos más habituales son los establecidos en las letras e (consentimiento inequívoco del afectado), f (contratos y precontratos entre el afectado y el responsable del fichero) y k (transferencia con destino a Estados miembros de la UE y Estados no comunitarios que tengan nivel de protección equivalente). Las excepciones son las siguientes: a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de los tratados o convenios en los que sea parte España. b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. c) Cuando la transferencia sea necesaria para la prevención o para el diagnósticos médicos, la prestación de asistencia o tratamientos médicos o la gestión de servicios sanitarios. d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica. e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. Este consentimiento debe ser previo, inequívoco e informado. f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquella sea acorde con la finalidad del mismo.


k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado. Requisitos para transferencia internacional de datos con destino a estados no comunitarios Será preceptiva la Autorización del Director de la Agencia antes de proceder a la realización de la Transferencia. Esta autorización tiene por finalidad determinar si se prestan garantías adecuadas para el tratamiento de los datos, tomando en consideración para otorgarla o denegarla los siguientes criterios: • Naturaleza de los datos. • Finalidad y duración del tratamiento previsto. • Estado de origen y destino de la transferencia. • Normas legales vigentes en el Estado destino. • Informes de la Comisión Europea, • Normas profesionales y medidas de seguridad en vigor en el Estado de destino. Cumplimiento de la LOPD por parte del Responsable del Fichero que quiere realizar la transferencia. Esto supone: a)Para los supuestos de cesión de datos: • Cumplimiento del deber de información (informar a los afectados sobre la identidad del destinatario de los datos, finalidad del tratamiento que justifica la transferencia y tipología de datos cedidos). • Aportar contrato escrito, celebrado entre transmitente y destinatario en el que consten los siguientes extremos: -Que el transmitente ha cumplido con las normas establecidas en la LOPD en cuanto a la recogida, tratamiento e inscripción del fichero. -Que el destinatario utilizará los datos exclusivamente para la finalidad que motiva la transferencia y el tratamiento de los mismos se realizará de conformidad con lo dispuesto en la LOPD, comprometiéndose además a no ceder los datos a terceros. -Que el destinatario se compromete a la adopción de las medidas de seguridad establecidas en la legislación española. -Se establecerá la responsabilidad solidaria de transmitente y destinatario frente a los afectados, AEPD y órganos jurisdiccionales cuando el incumplimiento del contrato por el destinatario suponga una infracción establecida en la LOPD.


-Se garantizará el ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte del afectado, quien podrá solicitar la tutela de la AEPD. -Compromiso del destinatario de autorizar el acceso a las instalaciones donde se realice el tratamiento de los datos a la Agencia Española de Protección de Datos. -El destinatario se obligará a que, una vez cumplida la finalidad del tratamiento, se procederá a la destrucción de los datos o, en su caso, a la devolución de los mismos al transmitente. -Por último, se dispondrá que los afectados podrán solicitar el cumplimiento de lo dispuesto en el contrato que les sea favorable.


3. Ámbito de Seguridad de la LOPD

3.1 Determinación del nivel de seguridad Las medidas de seguridad previstas en el Real Decreto 1720/2007 se encuentran clasificadas en tres niveles (básico, medio y alto ) que se aplicarán en función del tipo de datos que contenga el fichero y la finalidad del tratamiento que se vaya a llevar a cabo con dichos datos. Las medidas de seguridad previstas en el reglamento de la Lopd se aplican acumulativamente, lo que significa que cuanto mayor nivel de seguridad requieran los ficheros, más medidas de seguridad hay que implementarle:

NIVEL DE SEGURIDAD MEDIDAS DE SEGURIDAD Básico Básico Medio Básico + Medio Alto Básico + Medio + Alto

Ficheros a los que se le aplica el nivel básico Las medidas de seguridad de nivel básico se aplican a todos los ficheros que contengan datos concernientes a personas físicas identificadas o identificables. Se trata del conjunto de medidas de seguridad que deben estar presentes en toda organización que trate datos personales, independientemente de que por el tipo de datos tratados o por el tipo de tratamiento realizado sea preciso añadir las medidas de seguridad previstas para los niveles medio o alto. Ficheros a los que se aplica el nivel medio Además de las medidas previstas para el nivel básico, se aplicarán las medidas de seguridad de nivel medio a los siguientes ficheros o tratamientos: - Los relativos a la comisión de infracciones administrativas o penales. - Aquellos cuya finalidad sea la prestación de servicios de información sobre solvencia

patrimonial o crédito . - Aquellos de los que sean responsables Administraciones tributarias y se relacionen con

el ejercicio de sus potestades tributarias.


- Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

- Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la

Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

- Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una

definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Ficheros a los que se aplica el nivel alto Existen determinados ficheros o tratamientos que, por su especial influencia en la intimidad de las personas, deben ser tratados con un nivel de protección superior a cualquier otro tratamiento de datos personales, por lo que además de aplicarles las medidas de seguridad de nivel básico y las de nivel medio deben estar también protegidos con las medidas clasificadas de nivel alto, dichos ficheros son los siguientes: - Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen

racial, salud o vida sexual. - Los que contengan o se refieran a datos recabados para fines policiales sin

consentimiento de las personas afectadas. - Aquéllos que contengan datos derivados de actos de violencia de género. Excepción Existen determinados ficheros o tratamientos de datos que, a pesar de contener datos que requieren de un nivel alto de seguridad pueden ser protegidos aplicando las medidas previstas para el nivel básico , dichos ficheros o tratamientos son los siguientes: - En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión,

creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, o cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

- También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o

tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado


de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

3.2 Medidas de seguridad Medidas de seguridad aplicables a ficheros y tratamientos automatizados MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO Funciones y obligaciones del personal.

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento. 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de forma clara las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Registro de incidencias. Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. Control de acceso. 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.


5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. Gestión de soportes y documentos. 1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad. Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad. 2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. 3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. 4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. 5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas. Identificación y autenticación. 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras


estén vigentes, se almacenarán de forma ininteligible. Copias de respaldo y recuperación. 1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. 2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad. 3. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad. Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO Responsable de seguridad. En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciado según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento. Auditoria. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento del presente título.


2. El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas. Gestión de soportes y documentos. 1. Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada. 2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. Identificación y autenticación. El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Control de acceso físico. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información. Registro de incidencias. 1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. MEDIDAS DE SEGURIDAD DE NIVEL ALTO


Gestión y distribución de soportes. 1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas. 2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. 3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos. Copias de respaldo y recuperación. Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación. Registro de accesos. 1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. 4. El período mínimo de conservación de los datos registrados será de dos años. 5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.


6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias: a) Que el responsable del fichero o del tratamiento sea una persona física. b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales. La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad. Telecomunicaciones. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO Criterios de archivo. El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.


Dispositivos de almacenamiento. Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas. Custodia de los soportes. Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO Responsable de seguridad. Se designará uno o varios responsables de seguridad Auditoria. Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento del presente título. MEDIDAS DE SEGURIDAD DE NIVEL ALTO Almacenamiento de la información. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.


Copia o reproducción. La generación de copias o la reproducción de los documentos únicamente podrán ser realizadas bajo el control del personal autorizado en el documento de seguridad. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. Acceso a la documentación. El acceso a la documentación se limitará exclusivamente al personal autorizado. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad. Traslado de documentación. Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. Cuadro resumen medidas de seguridad NIVEL BÁSICO NIVEL MEDIO (+ básico) NIVEL ALTO(+bás +med)

Ámbito de aplicación. Identificación del responsable de seguridad.

Medidas, normas, procedimientos reglas y estándares de seguridad.

Control periódico del cumplimiento del documento.

Funciones y obligaciones del personal.

Medidas a adoptar en caso de reutilización o desecho de soportes

Estructura y descripción de ficheros y sistemas de información.

Procedimiento de notificación, gestión y respuesta ante incidencias.

DOCUMENTO DE

SEGURID

AD

Procedimiento realización copias de respaldo y recuperación de datos.

PERSO

NAL Funciones y obligaciones

claramente definidas y documentadas.


Difusión entre el personal, de las normas que les afecten y de las consecuencias por incumplimiento

Registrar tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica y efectos derivados

Registrar la realización de procedimientos de recuperación de los datos, persona que lo ejecuta, datos restaurados y grabados manualmente

INCID

ENCIA

S

Autorización por escrito del responsable del fichero para su recuperación

Relación actualizada de usuarios y accesos autorizados.

Procedimientos de identificación y autenticación.

Criterios de accesos.

Se establecerá el mecanismos que permita la identificación de forma inequívoca y personalizada de todo usuario y la verificación de que está autorizado

Procedimientos de asignación y gestión de contraseñas e indicando cada cuanto tiempo se cambian con que se cambian

Límite de intentos reiterados de acceso no autorizado

IDENTIFIC

. Y

AUTENTIFIC

A.

NIVEL BÁSICO NIVEL MEDIO (+ básico) NIVEL ALTO (+ bás + med)

Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones

Control de acceso físico a los locales donde se encuentren ubicados los sistemas de información

Mecanismos que eviten el acceso adatos o recursos con derechos distintos de los autorizados

CONTROL DE ACCESO

Permisos de acceso sólo por personal autorizado

GESTI

ÓN

DE

SOPO

RTES

Identificar el tipo de información que contiene

Registro de entrada y salida de soportes.

Cifrado de datos en la distribución de soportes


Inventario

Medidas para impedir la recuperación posterior de información de un soporte que vaya a ser desechado

Almacenamiento con acceso restringido

Salida de soportes autorizada por el R. F.

Medidas que impidan la recuperación indebida de la información almacenada en un soporte que vaya a salir por operaciones de mtto.

Verificar la definición y aplicación de los procedimientos de copias y recuperación

Copia de respaldo y procedimiento de recuperación en lugar diferente del que se encuentren los equipos

Garantizar la reconstrucción de los datos en el estado en que se encontraban en el momento de producirse la pérdida o destrucción

COPIA

S DE RESPALDO

Copia de respaldo, semanal

Uno o varios nombrados por el responsable del fichero.

Encargado de coordinar y controlar las medidas del documento.

RESPONSAB.

No supone delegación de responsabilidad del responsable del fichero

PRUEBAS

Sólo se realizarán si se asegura el nivel de seguridad correspondiente al tipo de fichero tratado

NIVEL BÁSICO NIVEL MEDIO (+ básico) NIVEL ALTO (+ básico + medio)

Adecuación de las Medidas y controles.

Deficiencias y propuestas correctoras.

Análisis del responsable de seguridad y conclusiones al responsable del fichero

AUDITORIA

Adopción de las medidas correctoras adecuadas.


Registrar usuario, hora, fichero, tipo acceso y registro accedido

Control del responsable de seguridad. Informe mensual.

REGISTRO DE

ACCESOS

Conservación 2 años

TELECOM

U-

NIC

ACIO

NES

Transmisión de datos cifrada

3.3 Infracciones y sanciones Iniciación del procedimiento. Con carácter específico el acuerdo de inicio del procedimiento sancionador deberá contener: a) Identificación de la persona o personas presuntamente responsables. b) Descripción sucinta de los hechos imputados, su posible calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción. c) Indicación de que el órgano competente para resolver el procedimiento es el Director de la Agencia Española de Protección de Datos. d) Indicación al presunto responsable de que puede reconocer voluntariamente su responsabilidad, en cuyo caso se dictará directamente resolución. e) Designación de instructor y, en su caso, secretario, con expresa indicación del régimen de recusación de los mismos. f) Indicación expresa del derecho del responsable a formular alegaciones, a la audiencia en el procedimiento y a proponer las pruebas que estime procedentes. g) Medidas de carácter provisional que pudieran acordarse, en su caso, conforme a lo establecido en la sección primera del presente capítulo. Plazo máximo para resolver.


1. El plazo para dictar resolución será el que determinen las normas aplicables a cada procedimiento sancionador y se computará desde la fecha en que se dicte el acuerdo de inicio hasta que se produzca la notificación de la resolución sancionadora, o se acredite debidamente el intento de notificación. 2. El vencimiento del citado plazo máximo, sin que se haya dictada y notificada resolución expresa, producirá la caducidad del procedimiento y el archivo de las actuaciones. Sanciones en la LOPD Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador. Las infracciones se califican como leves, graves o muy graves: Infracciones leves: de 601’01 a 60.101’21 Euros Infracciones graves: de 60.101’21 a 300.506’05 Euros Infracciones muy graves: de 300.506’05 a 601.012’10 Euros. Infracciones leves a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda. b) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos. c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave. d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente LOPD 15/99. e) Incumplir el deber de secreto, salvo que constituya infracción grave. Infracciones graves a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente.


b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas. g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo. h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos. j) La obstrucción al ejercicio de la función inspectora. k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos. l) Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado. Infracciones muy graves a) La recogida de datos en forma engañosa y fraudulenta.


b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas. c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7 (LOPD 15/99). d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso. e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos. f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales. g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas. h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición. i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.


4. Aplicación de la LOPD en empresas privadas del sector turístico

4.1 Importancia de la información tratada en el sector turístico Los datos de carácter personal pueden tener distinto tratamiento en el sector turístico, dependiendo del propio funcionamiento de la entidad a las que el interesado los ha cedido. Sin embargo la realidad es que incluso entre las entidades dedicadas a la misma o similar actividad, se pueden tratar datos totalmente distintos, lo que conllevaría tener que aplicar medidas de seguridad para protegerlos en algunos casos más restrictivas que en otros. Así por ejemplo un hotel que tenga datos referentes a la salud de sus clientes tendrá que aplicar medidas de seguridad de nivel alto para proteger estos datos, por lo contrario si no tuviera este tipo de datos no tendría que aplicar medidas con este nivel y por lo general suelen ser de niveles medios. El motivo de esta variable información viene justificado con el desarrollo que ha seguido el sector turístico desde sus orígenes hasta la actualidad. En un principio el turista que viajaba necesita para llegar y estar en su destino, un medio de transporte y un lugar donde comer y alojarse, así que los elementos estructurales de la industria turística, tales como transporte, restauración y alojamiento únicamente se preocupaban de facilitarle el medio o servicio sin más interés que el de lucro y la mayor producción. Posteriormente la mejora de las condiciones de vida, los grandes cambios tecnológicos, la presencia de destinos competidores, el hecho de viajar como una nueva necesidad y la aparición de un turista cada vez más exigente, han permitido que no sólo se desarrolle la industria turística sino que se diversifique y especialice, atendiendo a otros valores más subjetivos. Es por ello que las empresas turísticas necesitan conocer a sus clientes y obtener la información necesaria para cumplir y superar sus expectativas, no solo ofreciéndole lo que necesita sino añadiendo un plus en los servicios y cuidándolo celosamente. Las entidades privadas del sector turístico que más se preocupen por cuidar a sus clientes son las que actualmente sobrevivan en el mercado y estarán cada vez más especializadas en ofrecer un servicio de calidad y casi individualizado. Es por ello que el tipo de información y los datos personales que se recaban puede superar los simplemente necesarios para la realización de una reserva o una factura, e incluir datos como gustos y preferencias de las personas. Las personas físicas tienen derecho a un tratamiento adecuado de sus datos personales por lo que proteger sus datos concierne que haya una regulación del uso por parte de las empresas de los datos personales que puedan tratar.


4.2 Responsables y encargados de tratamientos de los datos personales. En las empresas turísticas los responsables de los ficheros serán aquellas personas físicas o jurídicas que decidan sobre el uso y la finalidad de los datos que los interesados les han facilitado. Los encargados de tratamiento son aquellas personas físicas o jurídicas, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Pongamos como ejemplo la realización de una reserva de un vuelo a través de una web de una compañía aérea: En primer lugar los datos que el interesado facilita a la compañía aérea (Nombre y apellidos, dirección, teléfono, número de cuenta) cuando rellenan el formulario de reserva, son tratados por ésta y por lo tanto se convierte en la responsable de dichos datos y decidirá sobre su uso y finalidad, por lo que tendrá que aplicar todas las obligaciones que le concierne con respecto a la Ley Orgánica de Protección de Datos (inscripción de ficheros, documento de seguridad, información a los interesados, etc). Una vez que el pasajero se encuentra en el aeropuerto para facturar, por lo general se encuentra que sus datos están registrados en una base de datos que accede el personal de facturación que es de una empresa de handling ajena a la compañía aérea y a la cuál se le ha cedido los datos de los pasajeros que van a facturar. Esta empresa de handling le facilita un servicio a la compañía aérea, por lo que no establece ningún nuevo vínculo con el pasajero, sino que simplemente accede al listado de pasajeros que la compañía aérea le ha facilitado. El cliente de la empresa de handling es la compañía aérea, de la cuál tiene acceso al fichero de los pasajeros y no va a decidir sobre el uso y la finalidad de esos datos, por lo que es una entidad encargada de tratamiento de dichos datos. Por lo tanto a la compañía aérea le corresponde según el art. 12.2 de la LOPD, regular con la empresa de handling un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de la Ley que el encargado del tratamiento está obligado a implementar.


4.3. Tipos de ficheros en el sector turístico:

Los tipos de Ficheros habituales dependerán del tipo de información tratada, pero por lo general los ficheros comunes a las distintas entidades del sector turístico son lo siguientes:

- FICHERO CURRICULUMS:

o Tipo de Datos:

� Nombre, apellidos, datos de contacto (dirección residencia, e-mail), datos académicos y profesionales, detalles de empleo, algunos datos sobre la personalidad.

o Nivel de seguridad según la AEPD:

� Medio

o Encargados de Tratamiento:

� En principio no se ceden (caso de de hacerlo consentimiento expreso del interesado).

- FICHERO: CLIENTES (PASAJEROS/ ALUMNOS/ ALOJADOS..)

o Tipo de Datos:

� Nombre, apellidos, datos de contacto (dirección residencia, e-mail), datos relativos a la salud (ejemplo si no tolera determinados elementos) sobre gustos, preferencias, religión (ejemplos: si es de una determinada religión y por ello no comen determinados alimentos; si tiene preferencia por una habitación de un determinado color; si por ejemplo tiene miedo a volar en avión)


� Básico/ Medio/ Alto (depende del tipo de datos que la entidad recabe de sus clientes)



� Distintos destinatarios (asesoría fiscal (facturas), servicios de

mantenimiento informático, empresas de alquileres). Hay que tener en cuenta que la nueva entidad a la que se cede datos de un cliente, pueda pasar a ser un nuevo responsable del fichero de dichos datos al establecer una nuevo vínculo con el cliente, por lo que no será necesario el establecimiento de un contrato entra ambas entidades, pero sí el consentimiento expreso del interesado para que se puedan ceder sus datos a entidades diferentes con otra finalidad. En el caso de los hoteles los datos de los clientes se ceden por normativa legal a las Fuerzas y Cuerpos de Seguridad.

- FICHERO PROVEEDORES:

o Tipo de Datos:

� Nombre, apellidos, datos de contacto (dirección residencia, e-mail).


� Básico.


� En principio no se ceden

- FICHERO NÓMINAS, PERSONAL Y RECURSOS HUMANOS:

o Tipo de Datos:

� Nombre, apellidos, datos de contacto (dirección residencia, e-mail). Los necesarios para la formalización de los contratos y realización de nóminas.


� Básico- Alto (depende del tipo de datos que la entidad recabe de sus clientes). Ejemplo de nivel Alto: la tripulación de las compañías aéreas necesitan para poder ejercer su actividad un certificado de reconocimiento médico donde se detallan determinados aspectos relacionados con la salud de los tripulantes y pilotos (visión, grado de audición).



� Distintos destinatarios (asesoría laboral (para la realización de nóminas), servicios de mantenimiento informático, empresas a las que se mandan a los empleados, empresas de prevención de riesgos laborales, mutuas de salud).

• En caso de subcontrataciones, los empleados que prestan servicios a través de empresas contratadas o subcontratadas no forman parte del fichero de personal de la empresa principal sino de la contratada o subcontratada.

- FICHERO VIDEOVIGILANCIA:

o Tipo de Datos:

� Imágenes/ voz.


� Básico � Medio/ Alto (depende de la finalidad para la que se destinen los

datos) Ejemplo de nivel Medio: si por ejemplo a través de la grabación de las imágenes de los clientes de un hotel se puede obtener información sobre su comportamiento, para la realización de un perfil psicológico de los alojados dependiendo de distintas variables (la época del año, determinados colores con los que se ha pintado las paredes, etc)


� Fuerzas y Cuerpos de Seguridad, Entidades dedicadas a la vigilancia

de las instalaciones (empresas de seguridad)

- Diferenciar entre vigilancia como control laboral y con fines de seguridad (finalidades distintas).

- Cartel informativo suficientemente visible. - Ejemplo no permitido: instalación de webcams en interiores o zonas privadas.


Por lo general, las entidades del sector turístico suelen tener los siguientes niveles de seguridad: ENTIDADES NIVEL DE SEGURIDAD DATOS Establecimientos hoteleros Medio Currículums Restauración Básico Empleados Organización de Eventos Alto Diversidad de datos:

gustos, preferencias, afiliación sindical, salud…etc

Empresas de transportes Básico/ Alto Clientes/ Tripulación Entidades Ocio (actividades complementarias)

Básico Clientes

Entidades formación turística

Básico Alumnos

Agencias de viajes Básico Clientes En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. El responsable del fichero no es necesariamente quien “gestiona” un establecimiento, sino que decide sobre el uso y la finalidad de los datos. Habrá que tener en cuenta quién es el titular final del establecimiento (casos de franquicias, arrendamientos de hoteles, cadenas hoteleras, contratos de gestión, etc.) En el sector turístico es frecuente que el encargado de tratamiento sea también nuevo responsable del fichero. Pongamos el siguiente ejemplo: un cliente que se aloja en un hotel y cede sus datos al hotel para que le gestione la reserva del alquiler de un coche. La finalidad con la que el hotel recabó los datos del cliente en un primer momento sólo era para gestionar la estancia del cliente en el hotel, sin embargo la cesión de datos a la empresa de alquiler, además de requerir el consentimiento del cliente, no convierte a la empresa de alquiler en encargada de tratamiento ya que el cliente será ahora cliente del hotel y además un nuevo cliente para la empresa de alquiler, con lo que habrá dos responsables de tratamiento


4.4 Información tratada por las cadenas hoteleras Las cadenas hoteleras se ofertan en el mercado bajo una o varias marcas comerciales cuya titularidad la suele ostentar una sociedad mercantil que, a su vez, suele tener sociedades participadas, configurándose como un grupo integrado de empresas que se dedican a actividades turísticas en general y, más concretamente, a la gestión y explotación de hoteles propios, alquilados, en régimen de gestión o franquicia. De lo anterior se desprende que un hotel perteneciente a una marca hotelera, según la terminología empleada en el sector, se encuentra en alguna de las siguientes situaciones respecto de la sociedad propietaria de la marca comercial:

- Propiedad o arrendamiento: son hoteles dirigidos y gestionados en su totalidad por

la sociedad titular de la marca comercial. - Gestión: se trata de hoteles en los cuales son dos las sociedades participantes en el

negocio. Por una parte la sociedad propietaria de la marca comercial y, por otra, la mercantil propietaria del negocio hotelero con la que se vincula el personal que trabaja en el establecimiento. En este caso se suscribe un contrato entre ambas empresas mediante el cual la mercantil propietaria del negocio contrata con la propietaria de la marca comercial, además de la utilización de su marca y los valores añadidos de publicidad que ello implica, la gestión del negocio. Se ha comprobado que, en algunos casos, la gestión incluye la implantación y utilización del sistema informático y de los ficheros informáticos en los que se tratan los datos personales de los clientes y en otros, el sistema informático y los ficheros automatizados son responsabilidad de la sociedad titular del negocio del hotel, sin que exista vinculación entre los datos de los clientes del hotel y los datos de los clientes de la cadena hotelera.

- Franquicia: Este régimen de explotación implica la firma de un contrato de

franquicia mediante el cual la sociedad titular de la marca comercial permite o habilita a la sociedad propietaria del negocio del hotel para que utilice su marca. En la mayoría de los casos, la sociedad propietaria del hotel es la que dirige y gestiona el negocio en su totalidad y únicamente se beneficia de los estándares implícitos en la marca comercial así como de los beneficios publicitarios de la cadena hotelera en su conjunto, como miembro de la misma.


Respecto del origen de la información que tratan las distintas entidades, por lo general se recaban datos personales para hacer reservas de habitaciones en algún hotel de la cadena. Estos datos personales los puede facilitar:

- Una agencia de viajes - Una empresa - Un organismo oficial - El propio interesado

En todos los casos el cliente debe facilitar, como mínimo, su nombre y apellidos, teléfono de contacto, la duración de la estancia y un número de tarjeta de crédito si el cliente desea garantizar la habitación reservada. Las cadenas hoteleras cuentan con una central de reservas donde se gestiona la disponibilidad de cada uno de los hoteles de su cadena y se reciben y tramitan las reservas que llegan por cualquiera de los medios disponibles; sin olvidar que todas ellas suelen estar conectadas con sistemas GDS (Global Distribution System) de terceras entidades de tal forma que permiten a estas últimas realizar transacciones de consulta sobre disponibilidad de habitaciones. Los datos personales recabados durante la reserva quedan almacenados en un fichero informático y cuando el cliente acude al hotel, durante el proceso de recepción o check in, son ampliados con los datos incluidos en el documento nacional de identidad o pasaporte y con la información que se va generando durante la estancia del cliente en el hotel como puede ser el consumo telefónico, restaurante, visionado de películas de pago u otros servicios añadidos. Los hoteles pertenecientes a la misma cadena hotelera suelen disponer de la misma aplicación informática para gestionar los datos personales de los clientes que se hospedan en su establecimiento, siempre bajo la dirección y coordinación de los servicios centrales que son los que marcan las directrices a seguir por todos. En los servicios centrales de todas ellas reciben información relativa a la facturación realizada por cada uno de sus establecimientos, encontrándose diferencias respecto de la información recibida que, en algunos casos se refiere únicamente a la facturación global sin detallar por clientes, y en otros, la información incluye los datos personales del cliente concreto. La mayoría de las cadenas hoteleras pretenden mantener sistemas de información del tipo Datawarehouse especializados en tratamientos complejos y masivos de la información recabada de todos los clientes que se hospedan en cada uno de sus hoteles, lo que permitiría, además de una única identificación del cliente en todos los hoteles de la cadena, la definición de perfiles personales individuales, así como la obtención de datos agregados sobre el comportamiento de sus clientes y sobre las preferencias por determinados servicios disfrutados en los hoteles al objeto de adecuar los servicios y atenciones a dichas preferencias.


Los datos personales que recaban las cadenas hoteleras relativos a sus clientes desde el momento en que se realiza una reserva, se mantienen tanto en los ficheros a los que accede cada uno de los hoteles como en los servicios centrales. Todas las entidades mantienen en sus ficheros, por tiempo indefinido, información relativa a las personas que han realizado una reserva de habitación incluso en aquellos casos en los cuales las reservas se han cancelado. Los datos personales relativos a los clientes que se han hospedado en un hotel, incluyendo los que se recogen durante el check-in y los que se generan durante toda la estancia del cliente, se suelen mantener activos en el fichero que habitualmente utiliza el hotel para gestionar su actividad, incluso en el caso de clientes que únicamente se han hospedado en una ocasión en el hotel hace varios años. Algunos hoteles disponen de centralitas de teléfonos que automáticamente administran y mantienen un fichero que contiene todas las llamadas telefónicas realizadas por el cliente (nombre y apellidos del cliente, número de teléfono al que ha llamado, día y hora de la llamada así como duración de la misma) comprobándose que se mantiene la información sin cancelar una vez que se ha facturado al cliente por dichas llamadas en el proceso de check out. Si los hoteles son propiedad de la compañía titular de la marca comercial bajo la que se ofertan en el mercado o si han firmado un contrato de gestión que incluye la utilización del sistema informático que trata los datos personales de los clientes alojados en el hotel, se ha comprobado que se producen distintas situaciones: 1) Hoteles que ofrecen al cliente el documento de bienvenida cuando éste se persona en recepción y que no contiene ningún tipo de información que haga referencia al artículo 5 de la LOPD. 2) Hoteles que ofrecen un documento conocido en el sector como “bienvenido” o contrato de hospedaje que incluye información completa y hoteles que, aunque ofrecen información, ésta resulta insuficiente o incompleta. Las franquicias o gestión excluyendo los sistemas informáticos, facilitan al cliente un documento estándar denominado “bienvenido” que utilizan todos los hoteles de la misma cadena hotelera obviando el régimen bajo el que funciona cada uno de ellos. Teniendo en cuenta que este tipo de hoteles únicamente se benefician de las facilidades que les proporciona la utilización de la marca comercial, la información facilitada en el documento está recogiendo como responsable del fichero a una sociedad que no es la que realmente trata los datos personales. Las cadenas hoteleras recaban datos adicionales de aquellos clientes que solicitan adherirse a los programas de fidelización. Estos datos se recaban a través de formularios en papel o en la propia web de la cadena. A este respecto, se ha comprobado que se suele incorporar una cláusula informativa relativa al artículo 5 de la LOPD con algunas deficiencias como no informar claramente de la finalidad del tratamiento, ni de la dirección del responsable del fichero o de la posibilidad de ejercitar los derechos que le asisten.


Finalmente, los hoteles disponen en sus instalaciones de cuestionarios de calidad que permiten evaluar el nivel de satisfacción de sus clientes respecto de los distintos servicios ofrecidos por el hotel. Todos ellos, suelen incorporar apartados para recoger los datos personales de los clientes. No obstante, suelen tratar únicamente los datos relativos a la valoración de los servicios a efectos estadísticos, extrayendo conclusiones sobre nivel de calidad ofrecido por cada uno de sus hoteles y excluyendo el tratamiento de los datos relativos a las personas. En algunos casos puntuales, cuando el apartado de observaciones refleja alguna queja o agradecimiento hacía un hotel concreto, los datos personales de los clientes son automatizados para emitir una respuesta personalizada al cliente. La mayoría de las cadenas hoteleras están estudiando la posibilidad de tratar conjuntamente, en un futuro próximo, los datos personales obtenidos de sus clientes durante su estancia en los hoteles de la cadena y todos los datos del cuestionario relativos a la valoración en los distintos ítem realizada por los clientes, al objeto de ofrecerle un mejor servicio y poder realizar estudios con fines de marketing. En este sentido la mayoría de las encuestas, aunque suelen hacer referencia a la confidencialidad de los datos recogidos, no recogen una información acorde al artículo 5 de la LOPD. Por último, se ha constatado que una misma entidad utiliza diferentes textos informativos en los distintos documentos donde debe incluirse la información exigida por el artículo 5 de la LOPD. En los casos de hoteles de sociedades independientes, aunque estén participadas por la matriz titular de la marca comercial, aquéllas son las que deben ser consideradas como responsables conforme a la normativa de protección de datos y, si la matriz titular de la marca comercial presta servicios relacionados con la explotación, ha de ser considerada como encargada del tratamiento. Lo mismo sucederá en los casos en que, siendo una empresa la titular del negocio, su explotación se lleve a cabo a través del régimen que se han denominado como de gestión. Por su parte, las entidades que, en virtud de la relación contractual con el titular del hotel, llevan a cabo la explotación del negocio ostentaran la condición de encargados del tratamiento. En los casos en que se haya celebrado un contrato de franquicia entre entidades independientes, será responsable del tratamiento la entidad franquiciada, con la que el cliente establece la relación negocial. En todo caso, en los supuestos a que se refieren los tres párrafos anteriores, el acceso a los datos de los clientes, si se produce en el marco de una prestación de servicios por una tercera entidad, aunque sea la matriz, deberá, para ser lícita, contemplar las garantías exigidas en el artículo 12 de la LOPD.


Por otra parte, las cadenas hoteleras realizan tratamientos de datos de los clientes con la finalidad de llevar a cabo estudios de mercado, perfiles sobre las preferencias de los clientes, promociones comerciales u otros similares. A tal efecto, se comunican los datos de clientes a las entidades titulares de la marca comercial que son las que efectúan, bajo su propia responsabilidad, los tratamientos descritos. Así sucede tanto cuando esta entidad es propietaria de las sociedades participadas, como en los casos en que la titular de la marca comercial realiza la explotación del negocio a través del régimen conocido como de gestión y, en algunos casos, cuando se suscribe un contrato de franquicia. En estos supuestos existe una cesión de datos que exige el consentimiento previo e informado del cliente. Según se ha constatado en la inspección, las cláusulas informativas que se facilitan a los clientes no informan con claridad de la cesión ni de las finalidades determinadas para las que tratarán los datos. Asimismo se producirá una cesión de datos cuando la prestación de servicios no incorpora las garantías del artículo 12 de la LOPD. Otras situaciones que se han detectado, principalmente, en los servicios centrales de las cadenas hoteleras:

- En lo que se refiere a las centrales de reservas, en alguna ocasión esta actividad se realiza por una tercera empresa participada por la sociedad titular de la marca comercial. Aunque existe, en algunos casos, un contrato firmado entre ambas empresas, este suele omitir las garantías previstas en el artículo 12 de la LOPD.

- En determinados servicios relacionados con el alojamiento (hosting) de bases de datos

o la instalación y mantenimiento de infraestructura informática o tecnológica, entre otras, bien no están formalizadas en contratos escritos, y si lo están, no recogen las garantías antes citadas. Lo mismo suele suceder en los casos en que las cadenas hoteleras disponen de servicios de consultoría con terceros que permiten el acceso a la información contenida en los sistemas informáticos.

- Respecto de los programas de fidelización vinculados a las cadenas hoteleras, se ha

comprobado que suelen intervenir terceras empresas incurriendo en las deficiencias antes descritas. Así, en los programas de fidelización propios o en los que participan las cadenas hoteleras, intervienen terceras empresas en la gestión de las tarjetas emitidas o en la grabación de los datos incorporados en los formularios de adhesión a los programas de fidelización sin adecuarse a las exigencias del artículo 12 de la LOPD.

Finalmente, se ha constatado que todos los hoteles facilitan diariamente a la Comisaría de Policía Nacional o Autonómica a la que pertenecen por su ubicación física, información relativa a los clientes que se han hospedado en sus habitaciones. En la mayoría de las ocasiones los hoteles suelen remitir los listados que extraen de sus sistemas informáticos o bien, un Policía Nacional se persona en el hotel a recoger el listado aunque, también se da el caso de hoteles que no facilitan el citado listado a la Policía y simplemente informan de las estancias cuando personal del Cuerpo solicita información puntual sobre algún cliente del


hotel. Esta cesión trae causa de lo establecido en el artículo 45.1 del Convenio de Schengen, ratificado por España en fecha 23 de julio de 1993. Según este precepto: “Las Partes contratantes se comprometen a adoptar las medidas necesarias para garantizar que:

a) El director de un establecimiento de hospedaje o su encargado procuren que los

extranjeros alojados, incluidos los nacionales de las demás Partes contratantes y

de otros Estados miembros de las Comunidades Europeas, con excepción de los

cónyuges o menores que les acompañen o de los miembros de grupos de viaje,

cumplimenten y firmen personalmente las ficha de declaración y que justifiquen

su identidad mediante la presentación de un documento de identidad vigente. b) Las fichas de declaración así cumplimentadas serán conservadas por las

autoridades competentes o transmitidas a éstas, siempre que dichas autoridades

lo estimen necesario para prevenir peligros, para perseguir delitos o para

dilucidar el paradero de personas desaparecidas o víctimas de accidentes,

excepto si el Derecho nacional dispusiera otra cosa”. También se encuentra habilitada por el artículo 12 de la Ley Orgánica 1/1992, de 21 de febrero que dispone que “Las personas naturales o jurídicas que desarrollen actividades relevantes para la seguridad ciudadana, como las de hospedaje, el

comercio o la reparación de objetos usados, el alquiler o el desguace de vehículos

de motor, o la compraventa de joyas y metales precioso, deberán llevar a cabo las

actuaciones de registro documental e información previstas en la normativa

vigente”. El desarrollo más reciente de esta previsión legal se encuentra en la Orden INT/1922/2003, de 3 de julio.

Principales deficiencias que se encuentran en los hoteles:

- No se elaboran documentos de seguridad. - No se encuentran implantadas todas las medidas de seguridad exigidas para

el nivel básico.

- Respecto de las funciones y obligaciones del personal, habitualmente los responsables de las cadenas hoteleras suelen redactar decálogos generales que deben cumplir todas las personas que trabajan en la compañía. Sin embargo, no queda reflejada en un documento la función asignada a cada trabajador dentro de la empresa.

- En otras ocasiones, la empresa responsable del fichero ha definido las

funciones y obligaciones a cumplir por el personal que trabaja en los departamentos de tecnología y sin embargo, las funciones asignadas a los demás trabajadores no están documentadas.


- En algunos hoteles se he comprobado que es posible acceder a los sistemas informáticos que tratan los datos personales de los clientes sin necesidad de utilizar ningún mecanismo de autenticación.

- Además, en aquellos casos en los cuales el mecanismo de autenticación

utilizado se basa en la existencia de contraseñas, se ha podido comprobar que en la mayoría de los hoteles una misma contraseña es compartida por varias personas que además se identifican ante el sistema con el mismo usuario.

- La mayoría de las cadenas hoteleras han definido procedimientos de

asignación, distribución y almacenamiento de contraseñas. No obstante en la práctica se ha constatado que algunos establecimientos concretos almacenan las contraseñas sin cifrar, lo cual permite el acceso a las mismas por terceros si no se establece una adecuada política de accesos a la información y, por tanto, no está garantizada su confidencialidad e integridad. En algunos hoteles el responsable de la gestión de contraseñas distribuye éstas a los interesados sin que conste ningún procedimiento estándar en el documento de seguridad que lo prevea.

- En cuanto al control de acceso, en aquellos casos en los cuales se puede

acceder a la información contenida en los ficheros sin utilizar ningún mecanismo de identificación y autenticación, se permite que cualquier usuario acceda a todos los recursos y no únicamente a los datos necesarios para el desarrollo de sus funciones.

- Respecto de la gestión de soportes, se ha comprobado que algunos hoteles almacenan las copias de seguridad en armarios abiertos ubicados además, en despachos abiertos.

- En lo que se refiere a las copias de respaldo y recuperación, aunque la

mayoría de los hoteles realizan las mismas con la periodicidad marcada desde los servicios centrales y controlada desde éstos, no en todos los casos se realiza el citado control, detectándose que los dispositivos utilizados para realizar las copias no permiten identificar el tipo de información que contienen.

- En algunos hoteles los servidores donde residen los ficheros informáticos que

contienen los datos personales de los clientes se ubican en espacios abiertos sin ninguna medida de seguridad.

- El intercambio de información relativa a reservas a través de internet se

realiza sin cifrar y, aunque según la tipología de datos personales utilizada el nivel de seguridad aplicado sería acorde con lo dispuesto en el artículo 4 del Reglamento, es preciso insistir en los riesgos que conlleva que se comuniquen a través de un medio como internet datos tales como el número de tarjeta de crédito y su fecha de caducidad, lo que podría permitir el uso de los mismos por terceros no autorizados.


- En algunas ocasiones, únicamente firman las citadas cláusulas aquellos

empleados que desempeñan su trabajo directamente en los departamentos de tecnología, sin que se haga extensivo al resto de los empleados que, por las funciones que desempeñan, también acceden a los ficheros informáticos que tratan datos de carácter personal.

- Los hoteles de la mayoría de las cadenas hoteleras, forman parte de ellas, si

bien a través de la titularidad que ostenta una sociedad independiente participada por la matriz titular de la marca comercial, que es la que realiza la explotación del hotel. Por lo que puede ocurrir que se recoja como titular del fichero una denominación que no se corresponde con la sociedad que realmente es la responsable del fichero automatizado donde se tratan los datos personales; bien en ofrecer la posibilidad de ejercer los derechos reconocidos en aquél artículo sin informar de la dirección donde ha de dirigirse. En este caso no existe un contrato firmado entre ambas sociedades en relación con el tratamiento de datos personales de los clientes.

- A lo anterior hay que añadir que respecto de la cesión o envío de publicidad,

no se informa sobre la finalidad para la que se van a tratar los datos personales, ni sobre si van a ser cedidos a terceras empresas y para qué finalidades, o si será la que recaba los datos la que enviará publicidad de terceros Por otra parte, en ninguno de los folletos se ha encontrado la opción que permita al cliente marcar una casilla que impida o permita el envío de publicidad o la cesión de sus datos a terceras empresas.

- En otros hoteles, su propietario suscribe un contrato de gestión con la

sociedad titular de la marca comercial que no siempre incluye referencia expresa a la gestión de los datos personales de los clientes. A su vez, en este supuesto la gestión de datos personales de los clientes presenta dos modalidades. Por una parte, los casos en los que la titular del hotel es responsable de los tratamientos facilitando la titular de la marca comercial servicios informáticos y asesoramiento para la gestión de los ficheros y, por otra, los supuestos en los que la encargada de la explotación del hotel pacta que los datos personales de los clientes serán de su exclusiva propiedad. En este caso suele existir un contrato firmado entre las sociedades intervinientes. Sin embargo, en ocasiones, dada la antigüedad de los contratos, no se incluyen estipulaciones sobre si los servicios contratados comprenden o no, ni en qué términos, la utilización de ficheros informáticos y datos personales de los clientes.

4.5. Recomendaciones respecto de la Ley Orgánica 15/1999 y


Normativa de Desarrollo Las cadenas hoteleras pretenden tratar, de forma simultánea y centralizada, todos los datos personales recabados de los clientes durante su estancia en los distintos hoteles de la cadena mediante la implantación de sistemas de información denominados datawarehouse. Dada la potencialidad y eficacia de estos sistemas para poder combinar gran cantidad de información y obtener resultados en poco tiempo, los responsables de las cadenas hoteleras pueden tener una identificación única de cada cliente y elaborar perfiles de los mismos en base a sus gustos, preferencias y servicios solicitados durante su estancia en cada uno de los hoteles con la finalidad de ofrecerles una atención más personalizada en cada hotel de la cadena, atendiendo a sus gustos y preferencias ya conocidas. Por tanto, se recomienda a las cadenas hoteleras que pretendan implantar estos sistemas que sólo realicen este tipo de tratamientos cuando dispongan del consentimiento del titular de los datos. Algunas entidades almacenan en sus ficheros información sobre el impago de deudas por parte de sus clientes. Dicha información debe ser exacta y puesta al día de forma que responda con veracidad a la situación actual del afectado y refleje con precisión si la deuda ha sido o no saldada. Además tal información será accesible únicamente por los hoteles cuya titularidad se corresponda con el responsable del fichero y no se cederá a terceros aunque utilicen la misma marca comercial salvo que dispongan del consentimiento del interesado. Se ha constatado que los datos personales relativos a las reservas canceladas así como los relativos a las reservas que han concluido con la estancia del cliente se mantienen en los ficheros de las entidades. Tales datos deberán cancelarse procediendo, conforme al artículo 16 de la LOPD, a su bloqueo durante el plazo necesario para atender las posibles responsabilidades nacidas del tratamiento, transcurrido el cual deberá procederse a la supresión definitiva. En este sentido, cuando las entidades mantienen información relativa a clientes, que durante largos períodos de tiempo no han vuelto a solicitar los servicios del hotel o incluso se han hospedado sólo una vez hace varios años, se recomienda la definición de procedimientos internos que permitan determinar los siguientes aspectos:

a) Qué datos personales de sus clientes es necesario mantener activos en el fichero de gestión de clientes.

b) Los datos personales que se deben almacenar en ficheros históricos a efectos

legales como puede ser el caso de datos de facturación o los correspondientes al libro de registro de entrada de viajeros.

c) El período de tiempo que debe transcurrir desde la última actualización de los

datos personales del cliente antes de proceder a su bloqueo conforme al artículo 16.3 de la LOPD, debiendo procederse a su supresión una vez que hayan desaparecido las circunstancias que justifiquen el bloqueo de los datos.

En particular, la información de clientes generada con la finalidad de facturar determinados servicios como son los ficheros que contienen datos generados en las centralitas telefónicas o los que contienen información relativa a las películas de video visualizadas por los


clientes, sólo podrán utilizarse para la citada finalidad. Finalmente, deben bloquearse y, en su caso, suprimirse en los mismos términos señalados en el apartado de reservas, los datos personales recabados en las siguientes situaciones:

- Los datos personales de clientes que, perteneciendo a los programas de fidelización patrocinados por las cadenas hoteleras, en un momento determinado solicitan la baja en dichos programas.

- Los datos personales de clientes que celebraron eventos en los salones de los

hoteles y que una vez celebrado el evento no mantienen ningún tipo de relación con el hotel.

- Los datos personales que almacenan las cadenas hoteleras relativos a clientes que

han solicitado una tarjeta de crédito de marca compartida entre la cadena hotelera y una entidad bancaria y ésta última ha denegado la tarjeta al interesado.

Por tanto se deberá informar de lo establecido en el artículo 5.1 a todos los clientes con carácter previo a la recogida de sus datos, con independencia del procedimiento utilizado para recabarlos, ya sea a través de llamada telefónica, e-mail, formularios, Internet o cualquier otra. No obstante, se dan circunstancias en las que el medio utilizado pudiera hacer imposible o exigir esfuerzos desproporcionados para facilitar la información previamente a la obtención de los datos. En tales casos, y según lo establecido en el artículo 5.5, la empresa responsable podría solicitar a la Agencia Española de Protección de Datos la exención de la obligación de información, adoptando otras medidas compensatorias. En todos los casos en los cuales se utiliza un formulario para recabar datos de los clientes, en soporte papel o electrónico, además de información relativa al responsable real del fichero y a su dirección, debe incluirse información relativa a la finalidad para la cual se recaban los datos, al destinatario de los mismos, a las consecuencias de la negativa a suministrar determinados datos, a la posibilidad de ejercitar los derechos de acceso, cancelación, rectificación y oposición y a las cesiones a terceras empresas incluyendo la cesión a los Cuerpos y Fuerzas de Seguridad del Estado, así como diferenciar los campos obligatorios de los voluntarios incluyendo una casilla que permita al usuario manifestarse sobre la cesión de sus datos, sobre la recepción de publicidad u oponerse a la realización de tratamientos destinados a elaborar perfiles en base a sus preferencias. También se recomienda la revisión de todos los formularios de recogida de datos personales (solicitudes de celebración de eventos, formularios de adhesión a programas de fidelización, cuestionarios de calidad, etc.), con independencia de la finalidad para la cual se recaban, y adecuen las cláusulas impresas al objeto de adaptarlas a lo estipulado en el mencionado artículo. Debe de establecerse un sistema que permita homogeneizar la información facilitada por las entidades a sus clientes a través de los distintos medios de recogida utilizados ya que la información relativa al artículo 5 de la LOPD debe ser la misma en todos ellos.


Las empresas deberán adoptar las medidas necesarias para recabar el consentimiento de sus clientes y evitar los tratamientos o cesiones de datos de los que no se hubiese informado a cada afectado. En aquellos casos en los que los hoteles han recabado datos facilitando información deficiente o los mismos sean utilizados para finalidades diferentes a las que han sido consentidas por el cliente o legalmente autorizadas, se deberá cesar en dichos tratamientos hasta que no se disponga del correspondiente consentimiento. En particular, el tratamiento de los datos para la realización de segmentaciones o perfiles personales con fines comerciales constituye un tratamiento ajeno a la relación negocial con el cliente. Por ello será preciso suministrar una información sobre esta finalidad y obtener un consentimiento específico al efecto. Asimismo, debe tener la posibilidad de oponerse a tales tratamientos en el momento de recogida de la información, por ejemplo, mediante la marcación de una casilla. En aquellos casos en los cuales se trate este tipo de información en los ficheros de los hoteles, como puede ser el caso de datos relativos a minusvalías, deberá solicitarse el consentimiento expreso del cliente al que haga referencia. Las entidades que disponen de procedimientos definidos para resolver y atender los derechos de acceso, rectificación, cancelación y oposición deberán revisarlos de tal forma que permita resolver solicitudes realizadas por cualquier persona con independencia del hotel en el que se haya alojado o haya realizado una reserva conforme a la LOPD y a la Instrucción 1/998, de 19 de enero. En los casos en los cuales el responsable del hotel, al disponer de ficheros propios, no comparte los datos personales de sus clientes con la matriz titular de la marca comercial, deberá definir los procedimientos que permitan resolver en plazo las solicitudes que dirijan los clientes a sus propias dependencias o a aquella ubicación que le indique el responsable del fichero en caso de prever otra dirección distinta de aquellas donde se ubican sus dependencias, también conforme a la citada Instrucción. Dadas las diversas modalidades de gestión utilizadas por las cadenas hoteleras es preciso aclarar que la obligación de notificar ficheros o tratamientos al Registro General de Protección de Datos corresponde a las entidades que sean responsables de los ficheros. Por el contrario, los meros encargados del tratamiento que prestan servicios a aquellos no tienen obligación de notificar al citado Registro los tratamientos de datos personales realizados en el marco de aquella prestación. En este sentido, dado que se ha detectado la existencia de hoteles franquiciados o con un contrato de gestión con la sociedad propietaria de la marca comercial que no incluye el uso de los ficheros automatizados y que disponen de ficheros informáticos propios para tratar los datos personales de sus clientes, al ser responsables de los mismos, deberán notificarlos a la Agencia Española de Protección de Datos, incluyendo la finalidad del fichero, ubicación física del fichero, descripción de la tipología de datos de carácter personal que contiene, el nivel adoptado en base a la tipología de datos tratados, cesiones de datos que se produzcan o que se prevean realizar así como si se van a producir transferencias internacionales de datos a terceros países. Transferencia internacional de datos


El desarrollo de las nuevas tecnologías y la globalización suponen para el sector turístico las principales ventajas para que sean posibles los flujos turísticos alrededor del planeta. El movimiento de visitantes desde un lugar de origen hasta un lugar de destino a través de entidades dedicadas al sector servicios supone un movimiento de información y datos que pasan fronteras físicas y administrativas. Todo este volumen de datos de carácter personal desde unos países a otros requiere de una regulación en materia de protección. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, regula la transferencia internacional de datos de carácter personal. En principio, según la citada ley y su reglamento de desarrollo, no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la LOPDL, salvo que, además de haberse observado lo dispuesto en la ley, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. La transferencia de datos de carácter personal entre los países miembros de la Unión Europea no se considera transferencia internacional de datos, por lo que se puede realizar sin necesidad de la autorización del director de la Agencia Española de Protección de Datos, aunque sí hay que hacerlo constar en la inscripción de ficheros. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración:

- La naturaleza de los datos - La finalidad

- La duración del tratamiento o de los tratamientos previstos

- El país de origen y el país de destino final

- Las normas de derecho, generales o sectoriales, vigentes en el país tercero de que

se trate.

- El contenido de los informes de la Comisión de la Unión Europea.

- Las normas profesionales y las medidas de seguridad en vigor en dichos países. Excepciones:

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.


c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios. d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica. e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo. k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

La relación contractual para la prestación de los servicios de alojamientos en otros países se podrá ampararse en el artículo 34 cuando concurra la excepción del apartado f). En otro caso, si la transferencia se va a realizar para que la empresa matriz remita un cuestionario de calidad, deberá solicitarse consentimiento informado del cliente. En todo caso, si la transferencia se ampara en una excepción prevista en el citado artículo 34, deberán notificar la inscripción del fichero, cumplimentando el apartado de Transferencias Internacionales y


justificar los supuestos consignados en la declaración con el fin de constatar que efectivamente concurren las circunstancias alegadas. Si la transferencia no se fundamenta en alguno de los supuestos a los que se refiere el artículo 34 de la LOPD, deben distinguirse dos situaciones atendiendo al país de destino de los datos. En los casos en que los países de destino dispongan de un nivel adecuado de protección de los datos personales, no será precisa la autorización del Director de la Agencia ni la concurrencia de ninguna de las excepciones señaladas respecto de la transferencia internacional, sin perjuicio de respetar el resto de los requisitos legales previstos para el tratamiento de los datos. Se consideran países que proporcionan un nivel de protección adecuado, los Estados Miembros de la Unión Europea o un estado respecto del cual la Comisión de las Comunidades Europeas haya declarado que garantiza un nivel de protección adecuado, estando incluidos, hasta la fecha, entre estos últimos: Suiza, la República Argentina, Canadá. En cuanto a los Estados Unidos de Norteamérica, aunque el país no proporciona un nivel de protección equiparable, sí lo ofrecerán las entidades estadounidenses adheridas a los “principios de puerto seguro” en cuyo caso, serán aplicables los mismos criterios que se han expuesto. En los restantes países, si no concurre ninguna de las excepciones establecidas en el artículo 34, deberá recabarse la autorización del Director de la Agencia Española de Protección de Datos, en cumplimiento del artículo 33 de la LOPD. Dicha autorización será otorgada en caso de que el responsable del fichero aporte un contrato celebrado o a celebrar entre el transmitente y el destinatario, en el que consten las garantías necesarias, en los términos previstos en las Decisiones de la Comisión 2001/497/CE o 2002/16/CE de las Comunidades Europeas, de 15 de junio de 2001 y de 27 de diciembre de 2001, respectivamente, relativas a las cláusulas contractuales tipo para la transferencia internacional de datos personales a un tercer país y a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE.


4.6 Medidas específicas para entidades turísticas que traten datos de niveles medios y altos. Para datos de niveles medios hay que tener en cuenta, además de las medidas de nivel

básico, las siguientes medidas de seguridad:

o Registro de Entrada y salida tanto para datos manuales como automatizados.

Por ejemplo si el hotel recibe currículums tanto manuales como automatizados, habrá que registrar la entrada de dichos currículums (además de informar al interesado de la finalidad, el titular y sus derechos ante la LOPD).

o Limitar la posibilidad de intentar reiteradamente acceder de forma no

autorizada a los equipos y programas informáticos que dan acceso a la información de los ficheros.

o Designación de un responsable de seguridad.

o Registro de incidencias, donde se consignarán también los procedimientos de recuperación de datos que afecten a los ficheros de nivel medio y/o alto, del modo que se indica a continuación: detallar la persona que ejecutó el proceso, los datos restaurados y, en su caso, que datos ha sido necesario grabar manualmente en el proceso de recuperación. En caso de gestión automatizada, se deberá prever la existencia de un código específico para recuperaciones de datos, en la información relativa al tipo de incidencia. Para ejecutar los procedimientos de recuperación de datos, será necesaria la autorización por escrito del responsable del fichero.

o Será obligatorio realizar una auditoría interna o externa que verifique el cumplimiento del Título VIII del RLOPD, referente a las medidas de seguridad, según lo indicado en sus artículos 96 y 110 respecto de los ficheros automatizados y no automatizados de nivel medio y/o alto, y que debe realizarse al menos cada dos años.

o Autorización de recuperación de datos.

Para datos de niveles altos hay que tener en cuenta además de las medidas de nivel básico y

medio, las siguientes medidas de seguridad:

- Se registrará cada uno de los accesos al programa informático que da acceso a la información de los ficheros con datos de niveles altos:

o El usuario, la fecha y hora en que se realizó el acceso, el fichero al cual se

ha accedido, el tipo de acceso (automatizado) y si ha sido autorizado o denegado.


o De forma que se haga constar la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

o Los datos del registro de accesos se conservaran durante dos años.

o El responsable de seguridad revisará al menos una vez al mes la

información de control registrada y elaborará un informe en caso de registrar alguna incidencia.

- El acceso a la documentación de datos manuales de nivel alto, se limita

exclusivamente al personal autorizado. El mecanismo para identificar los accesos realizados en el caso de los documentos relacionados se realiza de forma manual en el momento de acceder a los sistemas de almacenamiento (armarios cerrados con llave) donde se encuentran los documentos con información de los ficheros de nivel medio o alto. De forma que consta:

o El usuario, la fecha y hora en que se realizó el acceso, el fichero al cual se

ha accedido, el tipo de acceso (manual) y si ha sido autorizado o denegado.

o Los datos del registro de accesos se conservaran durante dos años. El

responsable de seguridad revisará al menos una vez al mes la información de control registrada y elaborará un informe en caso de registrar alguna incidencia.

- Los datos automatizados de nivel alto se identificarán mediante el sistema de

etiquetado que resultarán comprensibles y con significado para los usuarios con acceso autorizados, permitiéndoles identificar su contenido y dificultando la identificación para el resto de personas. La distribución y salida de soportes que contengan datos de carácter personal de se realizará cifrando los datos o, en su caso, incluyendo contraseñas de acceso para garantizar que dicha información no sea inteligible ni manipulada durante su transporte. Igualmente se cifrarán los datos que contengan los dispositivos portátiles cuando se encuentren fuera de las instalaciones que están bajo control del responsable.

- Los datos personales correspondientes a los ficheros de nivel alto, que se

transmitan a través de redes públicas o inalámbricas de comunicaciones electrónicas se realizará cifrando previamente estos datos. También es adecuado cifrar los datos en red local.


- La realización de copias o reproducción de los documentos con datos personales

de los ficheros de nivel alto sólo se podrán realizar bajo el control del responsable de seguridad. Las copias desechadas deberán ser destruidas imposibilitando el posterior acceso a la información contenida. Los documentos manuales deberán ser destruidos manualmente o mediante destructora de papel.

- Se conservará una copia de respaldo y de los procedimientos de recuperación de

los datos en lugar diferente de donde se encuentran los sistemas informáticos que los tratan, y que deberá cumplir las medidas de seguridad, o utilizando elementos que garanticen la integridad y recuperación de la información de forma que sea recuperable. Se guardarán en una cinta magnética.

- El responsable de seguridad se encargará de revisar al menos una vez al mes la

información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados regulado por el artículo 103 del RLOPD.

- Autorización expresa a tratar y ceder con datos relativos a niveles altos (salud).

\ Anexos: Ejemplos prácticos.

• 1) Ejemplo de Cláusula de Información a Clientes en un cuestionario de calidad NO anónimo (art. 5 LOPD).

o “ Estimado cliente: de conformidad con lo dispuesto en la Ley Orgánica

15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, los datos facilitados voluntariamente por usted en este cuestionario serán incorporados por HOTEL PARAISO, destinatario de los mismos, domiciliado en C/Adán y Eva, s/n, de Murcia, y con C.I.F. B-73191919, a un fichero de su titularidad con la finalidad de gestionar nuestros procesos internos de calidad. Asimismo, estos datos podrán ser utilizados con fines de publicidad de tal manera que podrá serle remitida por HOTEL PARAISO información y ofertas comerciales de novedades y estancias en el Hotel que podamos considerar de su interés. Por último, le informamos de que en cualquier caso podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición mediante petición escrita dirigida al Responsable de Seguridad de HOTEL PARAISO a la dirección indicada más arriba.

• 2) Notificación de fichero de clientes.


• 3) Ejemplo práctico.

o Pareja de novios que contrata a través de Agencia de Viaje en Internet un viaje a Cádiz (incluye transporte y hotel en media pensión).

o Él es alérgico a los lácteos y lo indica en el formulario de reserva a la Agencia de Viajes.

o La Agencia gestiona la reserva y facilita los datos al Hotel. o El Ayuntamiento de Cádiz solicita al hotel datos de ocupación con detalle

con fines estadísticos. o Cuestiones:

� Determinar quién es el RESPONSABLE del fichero. � Nivel de seguridad aplicable al FICHERO. � Información en materia de Protección de Datos que debe facilitarse a

los afectados al contratar. � Determinar qué datos pueden facilitarse por el Hotel al Ayuntamiento.


5. Desarrollo caso práctico

En este apartado vamos a desarrollar en que afectaría la protección de datos en una empresa dedicada a la organización de actividades turísticas. La empresa ACTITUR SL se dedica a la organización de excursiones y actividades, antes de comenzar a realizar la documentación necesaria es importante asegurarnos que disponemos de toda la información necesaria.

- Datos de carácter personal que trata la empresa. o Delimitar si es responsable del fichero o encargado del tratamiento

- Procedencia de los datos de carácter personal o Información previa a la recogida de los datos (forma recabar datos)

- Posibles destinatarios o Delimitar si se considera cesión o será un encargado de tratamiento.

- Tipología de los datos o Medidas de seguridad a aplicar

- Forma de tratar los datos

Datos de carácter personal que trata la empresa. - CLIENTES: Incluyendo interesados y clientes - PERSONAL: Datos de los trabajadores de la propia empresa - PERSONAL EXTERNO: Datos de los trabajadores de las empresas subcontratadas - SOLICITANTES DE EMPLEO: Currículums. En este caso se tendrían que inscribir tres ficheros: - CLIENTES Y/O PROVEEDORES: Incluye datos de clientes, interesados y posibles

datos de carácter personal de los proveedores.

- NÓMINAS, PERSONAL Y RECURSOS HUMANOS: Incluye toda la información concerniente a los trabajadores

- CURRÍCULUMS: Incluye los datos de los solicitantes, lo separamos del fichero de

Recursos Humanos ya que este fichero se almacenará independientemente siendo de nivel medio y por lo tanto deberá cumplir mayores medidas de seguridad

Los datos de personal externo no debe inscribirse el fichero al no ser ACTITUR SL la responsable de los datos, sino que es un encargado del tratamiento únicamente.


Procedencia de los datos de carácter personal CLIENTES � Página web Presencialmente Telefónicamente EMPLEADOS � Previamente han dado su currículum CURRÍCULUMS � Página web / correo electrónico Presencialmente Posibles destinatarios CLIENTES � Gestoría fiscal Informático (puede tener acceso) Empresas subcontratadas para la organización de la actividad EMPLEADOS � Gestoría laboral Empresa prevención de riesgos laborales Gestoría fiscal Informático CURRÍCULUMS � Informático Tipología de los datos CLIENTES � Datos de nivel básico: nombre, teléfono, dirección, nº DNI EMPLEADOS � Datos de nivel básico: nombre, teléfono, dirección, nº DNI, nº Seg.

Social, nº cuenta bancaria. CURRÍCULUMS � Datos de nivel medio: nombre, teléfono, dirección, nº DNI, nº Seg.

Social, Datos académicos, datos profesionales, aficiones… Forma de tratar los datos


Todos los datos se encuentran tanto en el ordenador como en soporte manual. Una vez se ha realizado un estudio previo de los datos que dispone la empresa hay tres pasos fundamentales:

- Inscripción de los ficheros ante la Agencia de Protección de Datos (siempre previo a recoger datos de carácter personal)

- Elaboración del Documento de Seguridad

- Cumplimiento del Documento de Seguridad

Empezaremos por el primer punto, inscripción de los ficheros, para ello debemos acceder al formulario NOTA disponible en la página web www.agpd.es Como hemos visto anteriormente nos aparecerán tres opciones ALTA // MODIFICACIÓN // SUPRESIÓN, en este caso nos interesa realizar el alta de un fichero:


Nos aparecen dos opciones Normal o Tipo, primero seleccionamos tipo para ver si hay algún fichero tipo que se adapte a nuestras necesidades, en este caso, encontramos dos opciones válidas (Clientes y/o proveedores; Nóminas – Recursos Humanos) por lo tanto podremos utilizar estas dos y realizar de modo normal el fichero Currículums. Los ficheros tipo ya vienen semi-cumplimentados, pudiendo añadir los datos necesarios. Una vez seleccionado el tipo de fichero a realizar debemos cumplimentar el tipo de presentación

Formulario en papel: Una vez cumplimentado, se imprime y se envía completo a la AGPD Internet: Una vez cumplimentado se envía por internet y solo se envía por correo la primera hoja firmada. Internet firmado con certificado digital: Para elegir esta opción es necesario disponer de firma electrónica (certificado digital) una vez cumplimentado y firmado se envía completamente por internet. Aceptado el primer paso, nos dirigimos a la cumplimentación de las hojas internas del Formulario Nota, donde se irán solicitando los datos necesarios


El apartado 1 se debe rellenar con los datos del responsable del fichero. El apartado 2 si es igual que el apartado 1 se puede dejar en blanco, en caso contrario deberemos cumplimentarlo. El apartado 4 debemos indicar quien será el mayor encargado del tratamiento de los datos, en caso de coincidir con el apartado 1 se dejará en blanco.

En el apartado 5 si hemos elegido la opción de fichero tipo ya estará semi-completada por lo que únicamente tendremos que revisar que no falte añadir nada, en el caso del fichero CURRICULUMS, cumplimentaríamos todos los apartados. Se van rellenando todos los apartados con los datos que previamente hemos recabado y una vez llegado al último punto (el 9 si es un fichero tipo y el 10 si es un fichero normal) Seleccionaremos cumplimentar hoja de solicitud, tendremos que remitirnos al inicio del documento donde se ha generado una nueva hoja, donde indicaremos los datos del declarante y del responsable del fichero, esta es la única hoja que va firmada. Marcamos la casilla Conocimiento de los deberes del declarante lo que automáticamente rellena la población y fecha.


Una vez finalizado pulsamos en finalizar formulario y se generarán unos códigos. Ahora ya podemos imprimir el formulario y tramitarlo según la elección inicial. Una vez realizada la inscripción de los ficheros pasaríamos a realizar el documento de seguridad, aquí debemos combinar la información que disponemos de la empresa con la normativa vigente, vamos a ver un ejemplo cumplimentado:


DOCUMENTO SEGURIDAD ACTITUR SL


El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el RLOPD recogen las medidas de índole técnica y organizativa necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la LOPD. El contenido de este documento queda estructurado como sigue:

INDICE

1- Ámbito de aplicación del documento. 2- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los

niveles de seguridad exigidos en este documento. 3- Procedimiento general de información al personal. 4- Funciones y obligaciones del personal. 5- Procedimientos de notificación, gestión y respuestas ante las incidencias. 6- Procedimientos de revisión. 7- Consecuencias del incumplimiento del Documento de Seguridad.

ANEXO I. Descripción de ficheros. ANEXO II. Nombramientos. ANEXO III. Autorizaciones de salida o recuperación de datos. ANEXO IV. Delegación de autorizaciones. ANEXO V. Inventario de soportes. ANEXO VI. Registro de incidencias. ANEXO VII. Encargados de tratamiento. ANEXO VIII. Registro de entrada y salida de soportes. ANEXO IX. Verificación del funcionamiento de las copias de seguridad. 8- Modelos y formularios

8.1- Información previa a la recogida de datos 8.2- Cartel informativo 8.3- Ejercicio derecho de cancelación 8.4- Ejercicio derecho de rectificación 8.5- Agregar información en mails enviados 8.6- Documento de información a los trabajadores 8.7- Documento de acceso de datos por parte de ACTITUR SL a los ficheros de

sus clientes


1- ÁMBITO DE APLICACIÓN DEL DOCUMENTO El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de ACTITUR SL incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican: C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información. NIVEL ALTO: Se aplicarán a los ficheros o tratamientos de datos: de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico; recabados con fines policiales sin consentimiento de las personas afectadas; y derivados de actos de violencia de género. NIVEL MEDIO: Se aplicarán a los ficheros o tratamientos de datos: relativos a la comisión de infracciones administrativas o penales; que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito); de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias; de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros; de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias; de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización. NIVEL BÁSICO: Se aplicarán a cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros; se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.


En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente, son los siguientes:

NOMBRE FICHERO SIST. TRATAMIENTO NIVEL SEGURIDAD

Clientes y/o Proveedores Mixto Básico

Nóminas, personal y RRHH Mixto Básico

Currículums Mixto Medio

En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular.


2- MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO IDENTIFICACIÓN Y AUTENTICACIÓN Medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a los datos personales. Cada usuario con acceso a los datos personales automatizados dispone de un nombre de usuario y contraseña independiente para verificar así la autorización de acceso. El procedimiento de asignación, distribución y almacenamiento lo realizará el responsable de seguridad (Ana Ana Ana), garantizando así su confidencialidad e integridad, además las contraseñas se cambiarán anualmente. NIVEL MEDIO En el fichero CURRÍCULUMS, se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Está limitación la llevará a cabo el software softcont. CONTROL DE ACCESO El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados:

- Cuando se creen los usuarios solo se dará acceso a los datos necesarios para el desarrollo de sus funciones.

Exclusivamente el responsable de seguridad (Ana Ana Ana) está autorizada para conceder, alterar o anular el acceso sobre los datos y los recursos, conforme a los criterios establecidos por el responsable del fichero. Para solicitar el alta, modificación y baja de las autorizaciones de acceso a los datos, se realizará según los siguientes criterios:

- Enviar escrito de solicitud al responsable de seguridad - El responsable de seguridad valorará si el acceso a los datos es necesario para el

desarrollo de sus funciones. - Si procede se le asignara una nueva contraseña, se modificará o se dará de baja las

autorizaciones precisas.


En el Anexo II, se incluye la relación de usuarios actualizada con acceso autorizado a cada sistema de información. Asimismo, se incluye el tipo de acceso autorizado para cada uno de ellos. Esta lista se actualizará anotando todas las modificaciones en el momento de producirse.. El personal ajeno al responsable del fichero con acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. RECURSOS FÍSICOS E INFORMÁTICOS OBJETO DE PROTECCIÓN Con carácter general, los lugares, equipos, soportes, etc., en que se almacenen los ficheros; y la totalidad de los recursos que puedan ser utilizados de modo directo o indirecto para acceder a los ficheros, deberán ser considerados como objeto de especial protección por este Documento de Seguridad. Dichos recursos son esencialmente los que se enumeran a continuación:

1. Los locales e instalaciones en los que se encuentren ubicados físicamente los ficheros o se almacenen los soportes magnéticos que los contengan. La descripción general y características de dichos locales e instalaciones, figuran detalladas a continuación en este Documento de Seguridad.

2. Los equipos informáticos, así como el entorno de sistema operativo utilizado y los

sistemas de comunicaciones externas, y asimismo todos los elementos que configuran los diversos puestos de trabajo, impresoras, unidades de grabación de datos de todo tipo, etc., bien sean de carácter local o a distancia, desde los que se pueda tener acceso a los ficheros. La descripción de los mismos figura detallada a continuación en este Documento de Seguridad.

3. Las aplicaciones especialmente programadas para ello o los programas comerciales

de uso general (Programas informáticos), que se hayan implantado en el sistema informático para acceder habitualmente a los datos, asimismo descritos en este Documento de Seguridad.

SEGURIDAD EN LOS LOCALES La primera de las barreras de protección durante el horario de apertura, frente a los intentos de acceso no autorizados, es custodiar los lugares y los equipos con acceso a los ficheros. Esto se llevará a cabo por los empleados autorizados. En consecuencia se describen a continuación tanto la configuración de las instalaciones como las medidas de seguridad a implantar para su protección. Situación: El local donde se encuentran situados físicamente los ficheros está situado en la siguiente dirección:

C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca


Accesos al local: El acceso al local, durante el horario de apertura al público, se efectúa desde la puerta principal del local. Equipamiento de seguridad: no dispone de sistema de videovigilancia, solo de alarma que no captura datos de carácter personal. Equipamiento informático:

• 2 Ordenadores(1 hace de servidor) • 1 disco duro externos • Medidas de obtención de copias de seguridad: - Las copias de seguridad se almacenan en el disco duro externo, de modo que se

sobrescriben y se actualizan los datos cada dos días. El proceso se lleva a cabo por el responsable de seguridad.

GESTIÓN DE SOPORTES Y DOCUMENTOS Los soportes que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y serán almacenados en las estanterías del responsable del fichero, lugar de acceso restringido al que solo tendrán acceso las personas con autorización que se relacionan en el anexo II. Los soportes se almacenarán de acuerdo a las siguientes normas:

- Se separarán dependiendo del fichero al que pertenezcan - Se ordenarán por tipología y fecha - Todos los archivadores estarán etiquetados indicando los datos que almacenan. - Se añadirá en el anexo V de este documento un inventario de soportes

automatizados. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en correos electrónicos, fuera de los locales bajo el control del responsable del fichero, deberá ser autorizada por el responsable del fichero o el responsable de seguridad. Las autorizaciones se realizarán según el siguiente procedimiento:

- El responsable del fichero o responsable de seguridad autoriza previamente a la/s persona/s necesarias para realizar la salida de soportes y documentos:

� Envío de mail � Entrega de soportes y documentos � Tramites de soportes y documentos � Disco duro externo

- Esta autorización estará registrada en el anexo III


Los soportes que vayan a ser desechados, deberán ser previamente destruidos (en caso de soportes informáticos borrados de forma segura) de manera que no sea posible el acceso a la información contenida en ellos o su recuperación posterior. En el traslado de la documentación se estará especialmente pendiente de los documentos que sean objeto de traslado para evitar la sustracción, pérdida o acceso indebido a la información. DATOS AUTOMATIZADOS REGISTRO DE ENTRADA Y SALIDA DE SOPORTES Las salidas y entradas de soportes correspondientes a los ficheros CURRÍCULUMS, serán registradas de acuerdo al siguiente procedimiento: - En la plantilla incluida en el anexo VIII se registrará la entrada y salida de soportes en el momento de producirse. CRITERIOS DE ARCHIVO El archivo de los soportes o documentos garantizará la correcta conservación de los documentos, la localización y consulta de la información y posibilitarán el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. ALMACENAMIENTO DE LA INFORMACIÓN Los siguientes dispositivos: Carpetas que contienen los datos manuales de carácter personad serán almacenadas en los armarios, estanterías y cajoneras del local, se utilizarán para guardar los documentos con datos personales. CUSTODIA DE SOPORTES En tanto los documentos con datos personales no se encuentren archivados en los dispositivos de almacenamientos indicados en el punto anterior, por estar en proceso de tramitación, las personas que se encuentren a su cargo deberán custodiarlos e impedir el acceso a personas no autorizadas. ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de comunicaciones, sean o no públicas, garantizarán un nivel de seguridad equivalente al exigido para los accesos en modo local. RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL FICHERO


Se pueden llevar a cabo tratamientos de datos personales fuera de los locales de la ubicación del fichero por parte de los encargados de tratamientos indicados en el anexo II. Esta autorización regirá durante el tiempo que dure la relación contractual con los mismos. En cualquier caso se garantizará el nivel de seguridad correspondiente. TRASLADO DE DOCUMENTACIÓN Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse las siguientes medidas: Autorización por escrito a la persona que vaya a trasladar los documentos, detallar los documentos que se van a extraer, especificar finalidad y destino, fecha y hora y obtener su compromiso de que no va a manipular la información. FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS Los ficheros temporales o copias de documentos creados exclusivamente para trabajos temporales o auxiliares, deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el Reglamento de medidas de seguridad, y serán borrados o destruidos una vez que hayan dejado de ser necesarios para los fines que motivaron su creación. COPIAS DE RESPALDO Y RECUPERACIÓN Se realizarán copias de respaldo, salvo que no se hubiese producido ninguna actualización de los datos, cada dos días. Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. El responsable del fichero verificará semestralmente los procedimientos de copias de respaldo y recuperación de los datos. Las pruebas anteriores a la implantación o modificación de sistemas de información se realizarán con datos reales previa copia de seguridad, y garantizando el nivel correspondiente al tratamiento realizado. En el Anexo I se detallan los procedimientos de copia y recuperación de respaldo para cada fichero.


RESPONSABLE DE SEGURIDAD Para el fichero CURRÍCULUMS se designa como responsable de seguridad a Ana Ana Ana que con carácter general se encargará de coordinar y controlar las medidas definidas en este documento de seguridad. En ningún caso, la designación supone una exoneración de la responsabilidad que corresponde a ACTITUR SL como responsable del fichero de acuerdo con el RLOPD El responsable de seguridad desempeñará las funciones encomendadas durante un periodo indefinido, No obstante se podrá nombrar a otro responsable de seguridad si así lo considera el responsable del fichero. En el Anexo II se encuentran las copias de los nombramientos de responsables de seguridad.


3- PROCEDIMIENTO GENERAL DE INFORMACIÓN AL PERSONAL Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información están definidas de forma general en el Capítulo siguiente y de forma específica para cada fichero en la parte del Anexo I correspondiente. Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas de acuerdo con siguiente procedimiento: en el momento de alta en la empresa se le explicarán las normas de la empresa y se le ofrecerá un documento que deberá firmar como acuse de recibo.


4- FUNCIONES Y OBLIGACIONES DEL PERSONAL A) Funciones y obligaciones de carácter general. Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. Constituye una obligación del personal notificar al responsable del fichero o de seguridad en su caso las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este Documento, y en concreto en su Capítulo VI. Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo. B) Funciones y obligaciones: 1. Administradores del sistema, encargados de administrar o mantener el entorno

operativo del Fichero. Este personal deberá estar explícitamente relacionado en el Anexo II, ya que por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos protegidos saltándose las barreras de acceso de la Aplicación.

a. Usuarios del Fichero, o personal que usualmente utiliza el sistema informático de acceso al Fichero, y que también debe estar explícitamente relacionados en el Anexo II, y deberá garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por la LOPD

b. Encargados de tratamiento, son las personas físicas o jurídicas, públicas o privadas u

órganos administrativos que, solos o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que les vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

Además del personal anteriormente citado existirá un Responsable de Seguridad del Fichero cuyas funciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último, de acuerdo con el R. D. 1720/2007 de 21 de diciembre Este documento es de obligado cumplimiento para todos ellos. Las funciones y obligaciones del personal están descritas en el Anexo II.


5- PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS Se considerarán como "incidencias de seguridad", entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal de ACTITUR SL. El procedimiento a seguir para la notificación de incidencias será: el usuario que detecte la incidencia la hará saber al Responsable de Seguridad y éste la registrará en el Documento de Seguridad además de tomar las medidas de actuación que crea convenientes. El registro de incidencias se gestionará de forma manual y deberá constar, al menos, el tipo de incidencia, el momento en que se ha producido o en su caso detectado, la persona que realiza la notificación, a quién se comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. En el registro de incidencias se consignarán también los procedimientos de recuperación de datos que afecten a los ficheros CURRÍCULUMS, del modo que se indica a continuación detallar la persona que ejecutó el proceso, los datos restaurados y, en su caso, que datos ha sido necesario grabar manualmente en el proceso de recuperación. En caso de gestión automatizada, se deberá prever la existencia de un código específico para recuperaciones de datos, en la información relativa al tipo de incidencia. Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionados en el párrafo anterior, será necesaria la autorización por escrito del responsable del fichero. Ejemplos de las incidencias que se deben considerar son:

• Los accesos, e incluso en ocasiones su mera posibilidad a los equipos informáticos, sistemas operativos, sistemas de redes o comunicaciones y datos de los ficheros, con motivo de la realización de trabajos de reparación o mantenimiento.

• Las transmisiones de datos de los ficheros mediante la utilización de redes públicas. • Los intentos de accesos no autorizados, hayan sido consumados o no, de los que se

tenga conocimiento. • Las pérdidas totales o parciales de los datos protegidos, y los procedimientos

utilizados para su recuperación. • Cualquier otra alteración sustancial de los procedimientos de seguridad establecidos

que pudiera dar o haber dado lugar a la indisponibilidad, alteración o acceso no autorizado de los datos de los ficheros.


6- PROCEDIMIENTOS DE REVISIÓN El documento de seguridad se mantendrá en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo, así como cuando se produzca cualquier alta o baja de un trabajador con acceso a los ficheros. Asimismo, estará adecuado, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. El Responsable de Seguridad será la persona responsable de mantener en todo momento el Documento de Seguridad actualizado. AUDITORÍA Para los datos del fichero CURRÍCULUMS será obligatorio realizar una auditoría interna o externa que verifique el cumplimiento del Título VIII del RLOPD, referente a las medidas de seguridad, según lo indicado en sus artículos 96 y 110 respecto de ficheros automatizados y no automatizados respectivamente, y que debe realizarse al menos cada dos años. Con carácter extraordinario deberá realizarse cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoria inicia el cómputo de dos años señalado. El informe analizará la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias. Los informes de auditoría han de ser analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará a disposición de la Agencia Española de Protección de Datos, o en su caso de las autoridades de control de las comunidades autónomas.


7- CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado podrá sancionarse según la normativa reguladora: Administrativas: Sanciones de carácter económico contempladas en la LOPD e impuestas por la Agencia Española de Protección de Datos. La cuantía de las mismas oscila entre 601,01 y 601.021,01 €. Laborales: Las consecuencias que se derivan del incumplimiento de las obligaciones por parte del trabajador, como son la protección inadecuada, la fuga de datos, el acceso no autorizado, etc…, conlleva la puesta en marcha del poder disciplinario del empresario a través del despido y otras medidas disciplinarias. Civiles: El incumplimiento de las obligaciones contractuales puede estar relacionado con los artículos 1902 y 1903 del Código Civil relativos a la Responsabilidad Contractual y Extracontractual. Penales: El Código penal tipifica los delitos contra la intimidad y el descubrimiento y revelación de secretos en los artículos 197 y siguientes.


ANEXO I DESCRIPCIÓN DE FICHEROS


Actualizado a: 1 de enero de 2099 Nombre del fichero o tratamiento: Nóminas, personal y Recursos Humanos Identificador de envío: 1111111111111111111 Identificador: 2222222222222222 Descripción: Gestión de Nóminas y Recursos Humanos Nivel de medidas de seguridad a adoptar: básico Responsable de seguridad: Ana Ana Ana Estructura del fichero principal: D.N.I, Nombre y Apellidos; Dirección; Teléfono; Número de la Seguridad Social/Mutualidad. Información sobre el fichero o tratamiento: Tratamiento mixto Finalidad y usos previstos: Gestión de Nóminas y Recursos Humanos Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar los datos personales, y procedencia de los datos: los datos se obtienen del propio interesado o su representante legal (empleados) Procedimiento de recogida: Los empleados y candidatos facilitan sus datos, en primer lugar a través del currículum y si son seleccionados entregan copia del DNI y de la tarjeta de la Seguridad Social Cesiones previstas: Organismos de la seguridad social; Administración Tributaria; Bancos; Cajas de Ahorro y Cajas Rurales; Entidades Aseguradoras. Transferencias Internacionales: no están previstas. Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición: ACTITUR SL


Descripción detallada de las copias de respaldo y de los procedimientos de recuperación: se realizan copias de seguridad cada dos días en un disco duro externo. Información sobre conexión con otros sistemas: no están previstas. Funciones del personal con acceso a los datos personales: Gerencia y administración. Relación actualizada de usuarios con acceso autorizado: se incluye en el anexo II


Actualizado a: 1 de enero de 2099 Nombre del fichero o tratamiento: Clientes y/o Proveedores Identificador de envío: 33333333333333333333 Identificador: 444444444444444444 Descripción: Gestión de Clientes y/o Proveedores Nivel de medidas de seguridad a adoptar: básico Responsable de seguridad: Ana Ana Ana Estructura del fichero principal: NIF / DNI; dirección, teléfono, nombre y apellidos, firma, correo electrónico Información sobre el fichero o tratamiento: Tratamiento mixto Finalidad y usos previstos: Gestión de Clientes contable, Fiscal y Administrativa; Publicidad y prospección comercial Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar los datos personales, y procedencia de los datos: El propio interesado o su representante legal (Clientes y usuarios; Proveedores) Procedimiento de recogida: los datos son facilitados por el cliente/proveedor al inicio de la relación comercial (página web, presencialmente, telefónicamente) Cesiones previstas: Organizaciones o personas directamente relacionadas con el responsable; Administración Tributaria; Bancos, Cajas de Ahorro y Cajas Rurales; Transferencias Internacionales: no están previstas. Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición: ACTITUR SL


Descripción detallada de las copias de respaldo y de los procedimientos de recuperación: se realizan en un HD Externo cada dos días Información sobre conexión con otros sistemas: no están previstas. Funciones del personal con acceso a los datos personales: Gerencia y administración Relación actualizada de usuarios con acceso autorizado: se incluye en el anexo II


Actualizado a: 1 de enero de 2099 Nombre del fichero o tratamiento: Currículums Identificador de envío: 5555555555555555555 Identificador: 6666666666666666 Descripción: Selección de personal Nivel de medidas de seguridad a adoptar: Medio Responsable de seguridad: Ana Ana Ana Estructura del fichero principal: NIF / DNI; Nombre y apellidos, Teléfono, Dirección, Nº DNI, Nº Seg. Social, Datos académicos, Datos profesionales. Información sobre el fichero o tratamiento: Tratamiento mixto Finalidad y usos previstos: Selección de personal Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar los datos personales, y procedencia de los datos: Solicitantes de empleo Procedimiento de recogida: Presencial, correo electrónico, página web Cesiones previstas: Ninguna, solo podría tener acceso el informático. Transferencias Internacionales: no están previstas Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición: ACTITUR SL


Descripción detallada de las copias de respaldo y de los procedimientos de recuperación: se realizan copias de seguridad cada dos días en un HD externo Información sobre conexión con otros sistemas: los candidatos seleccionados pasarán a formar parte del fichero nóminas, personal y recursos humanos. Funciones del personal con acceso a los datos personales: Gerencia y administración Relación actualizada de usuarios con acceso autorizado: se incluye en el anexo II


ANEXO II NOMBRAMIENTOS


Responsable del fichero: ACTITUR SL Responsable de Seguridad del Fichero: Ana Ana Ana � Gerente � Dispone de acceso a todos los datos de carácter personal Usuarios: EMPLEADO/A CARGO ACCESO AL

FICHERO FECHA DE ALTA

FECHA DE BAJA

Juan Juan Juan Administrativo Todos 01/01/2099

Administrador del sistema: El encargado de mantener el entorno operativo del fichero es la empresa SERV.INFORMATICOS SL Este personal consta explícitamente relacionado ya que por sus funciones, puede utilizar herramientas de administración que permiten el acceso a los datos protegidos. Encargados del tratamiento: GEST. LAB. FISC. SL � Gestoría laboral y fiscal � accede al fichero nóminas, personal y recursos humanos y clientes y/o proveedores EMP. PREV. RIESG. LAB. SL � Prevención de riesgos laborales � accede al fichero de nóminas, personal y recursos humanos EXCURSIONCITAS SL � Gestión de las excursiones � accede al fichero de clientes y/o proveedores Datos tratados de terceros: ACTITUR SL Dispone de acceso a los datos del fichero de personal de EXCURSIONCITAS SL con la finalidad de gestión de las excursiones.


ANEXO III AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS


AUTORIZACIÓN DE SALIDA

D. Ana Ana Ana, mayor de edad, titular del DNI 34343434-A obrando en nombre y representación de la entidad ACTITUR SL con CIF B07070707 en su calidad de representante legal, domiciliada en C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca

Autoriza a D. Juan Juan Juan a realizar salida de documentación fuera del local y a través de email del fichero Clientes y/o Proveedores con el fin de realizar los servicios contratados por los clientes. Mediante el presente documento se compromete a cumplir con la normativa como usuario de los datos de carácter personal que almacena ACTITUR SL, sobre todo en lo relacionado a la seguridad de los datos y a evitar el acceso a éstos por personas ajenas, de acuerdo con el RLOPD 1720/2007 de 21 de diciembre. En Palma, a ……………………

FDO:……………………………. …………………………


NOMBRAMIENTO RESPONSABLE DE SEGURIDAD

D. Ana Ana Ana, mayor de edad, titular del DNI 34343434-A obrando en nombre y representación de la entidad ACTITUR SL con CIF B07070707 en su calidad de representante legal, domiciliada en C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca Nombra como Responsable de Seguridad a Ana Ana Ana que mediante el presente documento se compromete a cumplir con la normativa como usuario de los datos de carácter personal que almacena ACTITUR SL Además ejercerá como Responsable de Seguridad de los Ficheros cuyas funciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último, de acuerdo con el RLOPD 1720/2007 de 21 de diciembre.

FDO: Ana Ana Ana


CAMBIO RESPONSABLE DE SEGURIDAD

D. Ana Ana Ana, mayor de edad, titular del DNI 34343434-A obrando en nombre y representación de la entidad ACTITUR SL con CIF B07070707 en su calidad de representante legal, domiciliada en C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca Nombra como Responsable de Seguridad a ……………………………….….. que mediante el presente documento se compromete a cumplir con la normativa como usuario de los datos de carácter personal que almacena ACTITUR SL Además ejercerá como Responsable de Seguridad de los Ficheros cuyas funciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último, de acuerdo con el RLOPD 1720/2007 de 21 de diciembre.

FDO:……………………………. …………………………


AUTORIZACIÓN RECUPERACIÓN DE DATOS

Fecha recuperación de datos

SOPORTE

Identificación

Contenido

FINALIDAD Y DESTINO

Finalidad

AUTORIZACION

Persona que autoriza

Cargo / Puesto

Observaciones

Firma


ANEXO IV DELEGACIÓN DE AUTORIZACIONES


En el presente Documento de seguridad se recogen las medidas de índole técnicas y organizativas necesarias para garantizar la protección, confidencialidad e integridad de los datos de carácter personal de los ficheros titularidad de ACTITUR SL, y para cumplir éstas medidas se realizan las siguientes delegaciones: Ana Ana Ana:

- Como responsable de seguridad se encargará de velar por la seguridad de los datos, así como de verificar el cumplimiento de las medidas descritas en el presente documento de seguridad.

Juan Juan Juan

- Esta autorizado a realizar salidas de documentación del fichero clientes y/o proveedores. Fuera del local y a través de correo electrónico.

Cumpliendo las medidas de seguridad necesarias para evitar el acceso de terceros no autorizados a la información.


ANEXO V INVENTARIO DE SOPORTES


SOPORTE AUTOMATIZADO: Equipo 1: Usuario: Juan Juan Juan Ordenador Sobremesa Sistema Operativo: Windows XP Programas de gestión: Office Datos: de los tres ficheros Antivirus: Mcafee Conexión a Internet: por cable 1 Discos duros externos utilizado para realizar las copias de seguridad SOPORTE MANUAL: 3 Archivadores A-Z que contienen datos del fichero Clientes / Proveedores 1 Archivador A-Z que contiene datos del fichero Nóminas, personal y RRHH 1 Archivador A-Z que contiene datos del fichero Currículums.


ANEXO VI REGISTRO DE INCIDENCIAS


Incidencia nº: ( A ser rellenado por el Responsable de Seguridad)

Fecha de notificación: ____/____/_______/

Tipo de incidencia: (Anotar todos los detalles de interés de la incidencia,

Descripción detallada de la incidencia

Fecha y hora en que se produjo la incidencia

Persona(s) que realiza(n) la notificación: (Especificar si son usuarios o no del Fichero)

Persona(s) a quien(es) se comunica:

Efectos que puede producir: (En caso de no subsanación o incluso independientemente de ella)

Persona que realiza la comunicación:

Fdo.:___________________________


ANEXO VII ENCARGADOS DE TRATAMIENTO


Contrato y cláusulas de comunicación de datos

De una parte Ana Ana Ana, mayor de edad, titular del DNI 34343434-A obrando en nombre y representación de la entidad ACTITUR SL en su calidad de representante legal, domiciliada en C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca y con CIF B07070707 De la otra, Pedro Pedro Pedro mayor de edad, titular del DNI 123456789R obrando en nombre y representación de la entidad GEST. LAB. FISC. SL en su calidad de representante legal, domiciliada en C/ Padre Fco. Molina 26 bjs y con CIF B07070707 (en adelante encargado del tratamiento) Ambas partes, reconociéndose previa y recíprocamente la capacidad legal necesaria para el otorgamiento del presente acuerdo: MANIFESTACIONES: 1- Que ACTITUR SL, desarrolla la actividad de Organización de excursiones y actividades 2-Que GEST. LAB. FISC. SL desarrolla la actividad gestoría laboral y fiscal. 3- Que ACTITUR SL ha contratado los servicios de GEST. LAB. FISC. SL al objeto de que le realice las tareas como gestoría laboral y fiscal 4-Que ACTITUR SL es responsable de los ficheros que contienen datos de carácter personal notificados a la Agencia Española de Protección de Datos. 5- Que el acceso a estos datos es necesario para la prestación de un servicio al mencionado responsable del tratamiento, y con el fin de proteger dichos datos de carácter personal y dar cumplimiento a lo establecido en el art. 12 de la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD) celebran el presente contrato con sujeción a las siguientes cláusulas: PRIMERA: Las partes reconocen que el encargado del tratamiento podrá tener acceso al fichero de nóminas, personal y recursos humanos y clientes y/o proveedores de nivel básico que contiene datos de carácter personal, del que ACTITUR SL es responsable, para la prestación del servicio arriba indicado, y que este servicio es necesario para el desarrollo de la actividad de la empresa. SEGUNDA: El encargado del tratamiento se obliga a respetar todas las obligaciones que pudieran corresponderle como encargado de tratamiento con arreglo a las disposiciones de la LOPD y cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable. TERCERA: El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones que reciba expresamente de ACTITUR SL CUARTA: El encargado del tratamiento no destinará, aplicará o utilizará los datos a los que tenga acceso con fin distinto al expresamente indicado o de cualquier otra forma que suponga un incumplimiento de las instrucciones expresas que ACTITUR SL le proporcione.


QUINTA: El encargado del tratamiento se compromete a no revelar, transferir, ceder o de otra forma comunicar los ficheros o datos en ellos contenidos, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, a excepción de organismos oficiales competentes y a aquellas entidades públicas, o privadas, a las que por su condición, el encargado del tratamiento considere necesaria tal comunicación. A tal efecto sólo podrá permitir el acceso a los datos a aquellos empleados que tengan la necesidad de conocerlos para la prestación de los servicios contratados. SEXTA: El encargado del tratamiento manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de protección de datos y más concretamente, en lo que se refiere a la implantación de las medidas de seguridad que le correspondan según el R. D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. Así mismo, GEST. LAB. FISC. SL garantiza el mantenimiento de estas medidas de seguridad, así como cualesquiera otras que le fueran impuestas, de índole técnica y organizativas, necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural, conforme a lo establecido en la normativa sobre protección de datos de carácter personal. SÉPTIMA: Una vez cumplida o resuelta la prestación contractual acordada entre ACTITUR SL y GEST. LAB. FISC. SL que justifica el acceso a los datos de carácter personal, el encargado del tratamiento devolverá a ACTITUR SL cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, debiendo certificar inmediatamente por escrito dicha devolución. OCTAVA: El encargado del tratamiento mantendrá indemne a ACTITUR SL frente a cualquier reclamación que derive del tratamiento de datos de carácter personal que realice en relación con el objeto del presente contrato como consecuencia de dicha normativa. Ambas partes en prueba de su conformidad, firman el presente contrato, En Palma de Mallorca a 1 de enero de 2099 ACTITUR SL GEST. LAB. FISC. SL



De una parte Ana Ana Ana, mayor de edad, titular del DNI 34343434-A obrando en nombre y representación de la entidad ACTITUR SL en su calidad de representante legal, domiciliada en C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca y con CIF B07070707 De la otra, Carlos mayor de edad, titular del DNI 43154315-B obrando en nombre y representación de la entidad EMP. PREV. RIESG. LAB. SL en su calidad de representante legal, domiciliada en Avda. Sant Vicenç 1 y con CIF A07070707 (en adelante encargado del tratamiento) Ambas partes, reconociéndose previa y recíprocamente la capacidad legal necesaria para el otorgamiento del presente acuerdo: MANIFESTACIONES: 1- Que ACTITUR SL, desarrolla la actividad de Organización de excursiones y actividades 2-Que EMP. PREV. RIESG. LAB. SL desarrolla la actividad prevención de riesgos laborales 3- Que ACTITUR SL ha contratado los servicios de EMP. PREV. RIESG. LAB. SL al objeto de que le realice las tareas de prevención de riesgos laborales. 4-Que ACTITUR SL es responsable de los ficheros que contienen datos de carácter personal notificados a la Agencia Española de Protección de Datos. 5- Que el acceso a estos datos es necesario para la prestación de un servicio al mencionado responsable del tratamiento, y con el fin de proteger dichos datos de carácter personal y dar cumplimiento a lo establecido en el art. 12 de la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD) celebran el presente contrato con sujeción a las siguientes cláusulas: PRIMERA: Las partes reconocen que el encargado del tratamiento podrá tener acceso al fichero de nóminas, personal y recursos humanos de nivel básico que contiene datos de carácter personal, del que ACTITUR SL es responsable, para la prestación del servicio arriba indicado, y que este servicio es necesario para el desarrollo de la actividad de la empresa. SEGUNDA: El encargado del tratamiento se obliga a respetar todas las obligaciones que pudieran corresponderle como encargado de tratamiento con arreglo a las disposiciones de la LOPD y cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable. TERCERA: El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones que reciba expresamente de ACTITUR SL


CUARTA: El encargado del tratamiento no destinará, aplicará o utilizará los datos a los que tenga acceso con fin distinto al expresamente indicado o de cualquier otra forma que suponga un incumplimiento de las instrucciones expresas que ACTITUR SL le proporcione. QUINTA: El encargado del tratamiento se compromete a no revelar, transferir, ceder o de otra forma comunicar los ficheros o datos en ellos contenidos, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, a excepción de organismos oficiales competentes y a aquellas entidades públicas, o privadas, a las que por su condición, el encargado del tratamiento considere necesaria tal comunicación. A tal efecto sólo podrá permitir el acceso a los datos a aquellos empleados que tengan la necesidad de conocerlos para la prestación de los servicios contratados. SEXTA: El encargado del tratamiento manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de protección de datos y más concretamente, en lo que se refiere a la implantación de las medidas de seguridad que le correspondan según el R. D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. Así mismo, EMP. PREV. RIESG. LAB. SL garantiza el mantenimiento de estas medidas de seguridad, así como cualesquiera otras que le fueran impuestas, de índole técnica y organizativas, necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural, conforme a lo establecido en la normativa sobre protección de datos de carácter personal. SÉPTIMA: Una vez cumplida o resuelta la prestación contractual acordada entre ACTITUR SL y EMP. PREV. RIESG. LAB. SL que justifica el acceso a los datos de carácter personal, el encargado del tratamiento se encargará de destruir o devolver al nuevo encargado de tratamiento cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. OCTAVA: El encargado del tratamiento mantendrá indemne a ACTITUR SL frente a cualquier reclamación que derive del tratamiento de datos de carácter personal que realice en relación con el objeto del presente contrato como consecuencia de dicha normativa. Ambas partes en prueba de su conformidad, firman el presente contrato, En Palma de Mallorca a 1 de enero de 2099 ACTITUR SL EMP. PREV. RIESG. LAB. SL



De una parte Ana Ana Ana, mayor de edad, titular del DNI 34343434-A obrando en nombre y representación de la entidad ACTITUR SL en su calidad de representante legal, domiciliada en C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca y con CIF B07070707 De la otra, Miguel Miguel Miguel mayor de edad, titular del DNI 123456789-A obrando en nombre y representación de la entidad SERV.INFORMATICOS SL en su calidad de representante legal, domiciliada en Calle C 104 y con CIF A123456789 (en adelante encargado del tratamiento) Ambas partes, reconociéndose previa y recíprocamente la capacidad legal necesaria para el otorgamiento del presente acuerdo: MANIFESTACIONES: 1- Que ACTITUR SL, desarrolla la actividad de Organización de excursiones y actividades 2-Que SERV.INFORMATICOS SL desarrolla la actividad informática 3- Que ACTITUR SL ha contratado los servicios de SERV.INFORMATICOS SL al objeto de que le realice las tareas de mantenimiento informático. 4-Que ACTITUR SL es responsable de los ficheros que contienen datos de carácter personal notificados a la Agencia Española de Protección de Datos. 5- Que el acceso a estos datos es necesario para la prestación de un servicio al mencionado responsable del tratamiento, y con el fin de proteger dichos datos de carácter personal y dar cumplimiento a lo establecido en el art. 12 de la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD) celebran el presente contrato con sujeción a las siguientes cláusulas: PRIMERA: Las partes reconocen que el encargado del tratamiento podrá tener acceso a todos los ficheros automatizados o mixtos de nivel básico y mixto que contiene datos de carácter personal, del que ACTITUR SL es responsable, para la prestación del servicio arriba indicado, y que este servicio es necesario para el desarrollo de la actividad de la empresa. SEGUNDA: El encargado del tratamiento se obliga a respetar todas las obligaciones que pudieran corresponderle como encargado de tratamiento con arreglo a las disposiciones de la LOPD y cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable. TERCERA: El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones que reciba expresamente de ACTITUR SL CUARTA: El encargado del tratamiento no destinará, aplicará o utilizará los datos a los que tenga acceso con fin distinto al expresamente indicado o de cualquier otra forma que suponga un incumplimiento de las instrucciones expresas que ACTITUR SL le proporcione.


QUINTA: El encargado del tratamiento se compromete a no revelar, transferir, ceder o de otra forma comunicar los ficheros o datos en ellos contenidos, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, a excepción de organismos oficiales competentes y a aquellas entidades públicas, o privadas, a las que por su condición, el encargado del tratamiento considere necesaria tal comunicación. A tal efecto sólo podrá permitir el acceso a los datos a aquellos empleados que tengan la necesidad de conocerlos para la prestación de los servicios contratados. SEXTA: El encargado del tratamiento manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de protección de datos y más concretamente, en lo que se refiere a la implantación de las medidas de seguridad que le correspondan según el R. D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. Así mismo, SERV.INFORMATICOS SL garantiza el mantenimiento de estas medidas de seguridad, así como cualesquiera otras que le fueran impuestas, de índole técnica y organizativas, necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural, conforme a lo establecido en la normativa sobre protección de datos de carácter personal. SÉPTIMA: Una vez cumplida o resuelta la prestación contractual acordada entre ACTITUR SL y SERV.INFORMATICOS SL que justifica el acceso a los datos de carácter personal, el encargado del tratamiento devolverá a ACTITUR SL cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, debiendo certificar inmediatamente por escrito dicha devolución. OCTAVA: El encargado del tratamiento mantendrá indemne a ACTITUR SL frente a cualquier reclamación que derive del tratamiento de datos de carácter personal que realice en relación con el objeto del presente contrato como consecuencia de dicha normativa. Ambas partes en prueba de su conformidad, firman el presente contrato, En Palma de Mallorca a 1 de enero de 2099 ACTITUR SL SERV.INFORMATICOS SL



De una parte Ana Ana Ana, mayor de edad, titular del DNI 34343434-A obrando en nombre y representación de la entidad ACTITUR SL en su calidad de representante legal, domiciliada en C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca y con CIF B07070707 De la otra, Carmen Carmen Carmen mayor de edad, titular del DNI 987654321-R obrando en nombre y representación de la entidad EXCURSIONCINTAS SL en su calidad de representante legal, domiciliada en Calle A 1 y con CIF A123412349 (en adelante encargado del tratamiento) Ambas partes, reconociéndose previa y recíprocamente la capacidad legal necesaria para el otorgamiento del presente acuerdo: MANIFESTACIONES: 1- Que ACTITUR SL, desarrolla la actividad de Organización de excursiones y actividades 2-Que EXCURSIONCITAS SL desarrolla la actividad realización de excursiones 3- Que ACTITUR SL ha contratado los servicios de EXCURSIONCITAS SL al objeto de que le realice las excursiones contratadas. 4-Que ACTITUR SL es responsable de los ficheros que contienen datos de carácter personal notificados a la Agencia Española de Protección de Datos. 5- Que el acceso a estos datos es necesario para la prestación de un servicio al mencionado responsable del tratamiento, y con el fin de proteger dichos datos de carácter personal y dar cumplimiento a lo establecido en el art. 12 de la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD) celebran el presente contrato con sujeción a las siguientes cláusulas: PRIMERA: Las partes reconocen que el encargado del tratamiento podrá al fichero clientes y/o proveedores de nivel básico que contiene datos de carácter personal, del que ACTITUR SL es responsable, para la prestación del servicio arriba indicado, y que este servicio es necesario para el desarrollo de la actividad de la empresa. SEGUNDA: El encargado del tratamiento se obliga a respetar todas las obligaciones que pudieran corresponderle como encargado de tratamiento con arreglo a las disposiciones de la LOPD y cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable. TERCERA: El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones que reciba expresamente de ACTITUR SL CUARTA: El encargado del tratamiento no destinará, aplicará o utilizará los datos a los que tenga acceso con fin distinto al expresamente indicado o de cualquier otra forma que suponga un incumplimiento de las instrucciones expresas que ACTITUR SL le proporcione.


QUINTA: El encargado del tratamiento se compromete a no revelar, transferir, ceder o de otra forma comunicar los ficheros o datos en ellos contenidos, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, a excepción de organismos oficiales competentes y a aquellas entidades públicas, o privadas, a las que por su condición, el encargado del tratamiento considere necesaria tal comunicación. A tal efecto sólo podrá permitir el acceso a los datos a aquellos empleados que tengan la necesidad de conocerlos para la prestación de los servicios contratados. SEXTA: El encargado del tratamiento manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de protección de datos y más concretamente, en lo que se refiere a la implantación de las medidas de seguridad que le correspondan según el R. D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. Así mismo, EXCURSIONCITAS SL garantiza el mantenimiento de estas medidas de seguridad, así como cualesquiera otras que le fueran impuestas, de índole técnica y organizativas, necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural, conforme a lo establecido en la normativa sobre protección de datos de carácter personal. SÉPTIMA: Una vez cumplida o resuelta la prestación contractual acordada entre ACTITUR SL y EXCURSIONCITAS SL que justifica el acceso a los datos de carácter personal, el encargado del tratamiento devolverá a ACTITUR SL cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, debiendo certificar inmediatamente por escrito dicha devolución. OCTAVA: El encargado del tratamiento mantendrá indemne a ACTITUR SL frente a cualquier reclamación que derive del tratamiento de datos de carácter personal que realice en relación con el objeto del presente contrato como consecuencia de dicha normativa. Ambas partes en prueba de su conformidad, firman el presente contrato, En Palma de Mallorca a 1 de enero de 2099 ACTITUR SL EXCURSIONCITAS SL


ANEXO VIII REGISTRO DE ENTRADA Y SALIDA DE SOPORTES


REGISTRO DE ENTRADA Fecha:

Contenido:

Destino:

Forma de envío:

Persona autorizada:

Observaciones:

Fecha:

Contenido:

Destino:

Forma de envío:

Persona autorizada:

Observaciones:

Fecha:

Contenido:

Destino:

Forma de envío:

Persona autorizada:

Observaciones:

Fecha:

Contenido:

Destino:

Forma de envío:

Persona autorizada:

Observaciones:

REGISTRO DE SALIDA


Fecha:

Contenido:

Destino:

Forma de envío:

Persona autorizada:

Observaciones:

Fecha:

Contenido:

Destino:

Forma de envío:

Persona autorizada:

Observaciones:

Fecha:

Contenido:

Destino:

Forma de envío:

Persona autorizada:

Observaciones:

Fecha:

Contenido:

Destino:

Forma de envío:

Persona autorizada:

Observaciones:


ANEXO IX VERIFICACIÓN DEL FUNCIONAMIENTO DE LAS COPIAS DE

SEGURIDAD


VERIFICACIÓN DEL FUNCIONAMIENTO DE LAS COPIAS DE SEGURIDAD

(Cada seis meses)

FECHA CORRECTA INCORRECTA FIRMA


8.- MODELOS Y FORMULARIOS Información previa a la recogida de datos de carácter personal: Para clientes y/o proveedores: En cumplimiento de lo previsto en la LOPD 15/1999 de 13 de diciembre y en el RD 1720/2007 de 21 de diciembre le informamos que los datos que nos ha facilitado quedarán incorporados en el fichero Clientes y/o proveedores con sistema mixto y titularidad de ACTITUR SL, cuya finalidad es la gestión de los clientes contable, fiscal y administrativa, publicidad y prospección comercial En todo momento podrá ejercer sus derechos de oposición, acceso, rectificación y cancelación de los datos de carácter personal que legalmente le corresponden, dirigiéndose por escrito a la dirección C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca Le informamos que facilitar los datos supone la prestación del consentimiento expreso para el tratamiento de los mismos, incluidos los datos especialmente protegidos, a la hora de recibir información publicitaria de ACTITUR SL. Así mismo, en el supuesto de que nos haya facilitado o facilite datos de carácter personal de terceras personas, él mismo garantiza que está facultado legítimamente para facilitar los referidos datos y que ha procedido a informar a los interesados de dicha cesión de datos, cumpliendo en todo momento la legalidad vigente y responderá ante ACTITUR SL en caso de que no sea así.

Para quien deje currículums:

En cumplimiento del artículo 5 de la Ley 15/1999 y el R. D. 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, por el que se regula el derecho de información en la recogida de datos se advierte de los siguientes extremos: Los datos de carácter personal que nos facilite serán incluidos en el fichero de nombre “nóminas, personal y recursos humanos” con sistema mixto y titularidad de ACTITUR SL y la finalidad del fichero es gestión de personal.

UD. podrá ejercitar los derechos legalmente previstos, y en concreto los derechos de acceso, rectificación, cancelación y oposición, solicitándolo en nuestras oficinas, mediante una solicitud dirigida al responsable de seguridad ACTITUR SL con domicilio en C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca


EJERCICIO DEL DERECHO DE CANCELACIÓN Datos del responsable del fichero o tratamiento ACTITUR SL C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca Datos del solicitante: D/Dña: ………………………………………. mayor de edad, domiciliado en …………………………………. De ……………………. Con DNI nº ……………….. del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de cancelación, de conformidad con el artículo 16 de la Ley Orgánica 15/1999 y los artículos 31,32 y 33 del RLOPD 1720/2007 de 21 de diciembre. Solicita 1.- Que en el plazo de diez días desde la recepción de esta solicitud, se proceda a la efectiva cancelación de cualesquiera de los datos relativos a mi persona que se encuentren en sus ficheros, en los términos previstos en la Ley Orgánica 15/19999 de Protección de Datos de Carácter Personal. 2.- Que me comunique de forma escrita a la dirección arriba indicada, la cancelación de los datos una vez realizada. 3.- Que, en caso de que el responsable del fichero considere que dicha cancelación no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez días señalado, a fin de poder interponer la reclamación prevista en el artículo 18 de la Ley. En Palma de Mallorca a … de ……………… de ……… Fdo………………………………………


EJERCICIO DEL DERECHO DE RECTIFICACIÓN Datos del responsable del fichero o tratamiento ACTITUR SL C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca Datos del solicitante: D/Dña: ………………………………………. mayor de edad, domiciliado en …………………………………. De ……………………. Con DNI nº ……………….. del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de rectificación, de conformidad con el artículo 16 de la Ley Orgánica 15/1999 y los artículos 31,32 y 33 del RLOPD 1720/2007 de 21 de diciembre. Solicita 1.- Que se proceda gratuitamente a la efectiva corrección en el plazo de diez días desde la recepción de esta solicitud, de los datos inexactos relativos a mi persona que se encuentren en sus ficheros 2.- los datos que hay que rectificar se enumeran a continuación, haciendo referencia a los documentos que se acompañan a esta solicitud y que acreditan, en caso de ser necesario, la veracidad de los nuevos datos. Datos que deben rectificarse ………………………………………………………………… ………………………………………………………………… 3.- Que me comuniquen de forma escrita a la dirección arriba indicada, la rectificación del os datos una vez realizada. 4.- Que, en el caso de que el responsable del fichero considere que la rectificación o la cancelación no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez días señalado, a fin de poder interponer la reclamación prevista en el artículo 18 de la Ley. En Palma de Mallorca, ……… de ……… de ………… Fdo………………………………………


AGREGAR INFORMACIÓN EN LOS MAILS ENVIADOS:

Nota sobre privacidad y protección de datos En caso de que UD. no desee recibir información sobre nuestros servicios, deberá comunicarlo por email a esta misma dirección, o bien a través de correo postal a la dirección de ACTITUR SL en C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca, especificando su deseo de no recibir la mencionada información.

En cumplimiento de la LSSI-CE 34/2002, de 11 de Julio, en concreto en su artículo 21 sobre comunicaciones comerciales, ponemos en su conocimiento que su dirección de correo electrónico está incluida en una base de datos destinada a divulgar información de nuestros servicios y productos. Le comunicamos que sus datos nos han sido facilitados directamente por usted o han sido extraídos de fuentes públicas.

Conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el R. D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, los datos recabados se someten a tratamiento automatizado y se consideran adecuados, pertinentes y no excesivos. Asimismo, y de acuerdo con la citada Ley Orgánica, usted puede ejercer sus derechos de acceso, rectificación, cancelación y oposición dirigiéndose por cualquier medio a este mismo mail.


Documento de información para los empleados con acceso a los datos El/La abajo firmante ACTITUR SL, mayor de edad, con DNI 3434334-A Ha sido informado/a que ACTITUR SL puede tratar y ceder sus Datos de Carácter Personal con fines laborales, prevención de riesgos laborales, formación, realización de nóminas, cesión a la tesorería de la Seguridad Social y cualquier otra empresa o entidad necesaria para el funcionamiento de la empresa. Asimismo se informa que tiene derecho de acceso, rectificación y cancelación mediante el envío de un escrito a C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca Mediante el presente documento se compromete a cumplir con la normativa como usuario de los datos de carácter personal que almacena ACTITUR SL. Además ejercerá como Responsable de Seguridad de los Ficheros cuyas funciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último, de acuerdo con el RLOPD 1720/2007 de 21 de diciembre. Las funciones y obligaciones del personal están descritas a continuación: Los datos de carácter personal y salud a los que tenga acceso únicamente se podrán utilizar para los fines que fueron recabados. En ningún caso podrán ser cedidos o comunicados a terceros sin el consentimiento del Responsable del fichero, ni tan siquiera después de haber finalizado la relación laboral. Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos, la reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias. Los puestos de trabajo desde los que se tiene acceso al fichero tendrán


una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo la autorización del responsable de seguridad. Salvaguarda y protección de las contraseñas personales. Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio. Gestión de incidencias Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma al administrador del sistema, o en su caso del registro de la misma en el sistema de registro de incidencias del Fichero. El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario. Gestión de soportes (cds, diskettes…): Los soportes que contengan datos del Fichero, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Fichero, deberán ser borrados físicamente antes de su utilización, de forma que los datos que contenían no sena recuperables. Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a los que no tengan acceso personas no autorizadas para el uso del Fichero que no estén por tanto relacionadas en el documento de seguridad. Cuando la salida de datos del Fichero se realice por medio de correo electrónico los envíos se realizaran, siempre y únicamente, desde una dirección de correo controlada por el administrador de seguridad, dejando constancia de estos envíos en el directorio histórico de esa dirección de correo o en algún otro sistema de registro de salidas que permita conocer en cualquier momento los envíos realizados, a quien iban dirigidos y la información enviada. Cuando los datos del fichero deban ser enviados fuera del recinto físicamente protegido donde se encuentra ubicado el Fichero, bien sea mediante un soporte físico de grabación de datos o bien sea mediante correo electrónico, deberán ser encriptados de forma que solo puedan ser leídos e interpretados por el destinatario. Consecuencias del incumplimiento Las consecuencias que se derivan del incumplimiento de las obligaciones por parte del trabajador, como son la protección inadecuada de los datos de carácter personal, la fuga de datos, el acceso no autorizado, etc…, conlleva la puesta en marcha del poder disciplinario del empresario a través del despido y otras medidas disciplinarias. En Palma de Mallorca a 1 de enero de 2099

ACTITUR SL Ana Ana Ana


Documento de información para los empleados con acceso a los datos

El abajo firmante Juan Juan Juan, mayor de edad, con DNI 43434343-B Ha sido informado que ACTITUR SL puede tratar y ceder sus Datos de Carácter Personal con fines laborales, prevención de riesgos laborales, formación, realización de nóminas, cesión a la tesorería de la Seguridad Social y cualquier otra empresa o entidad necesaria para el funcionamiento de la empresa. Asimismo se informa que tiene derecho de acceso, rectificación y cancelación mediante el envío de un escrito a C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca Mediante el presente documento se compromete a cumplir con la normativa como usuario de los datos de carácter personal que almacena ACTITUR SL. Además obedecerá las ordenes del Responsable de Seguridad de los Ficheros (ACTITUR SL) cuyas funciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último, de acuerdo con el RLOPD 1720/2007 de 21 de diciembre. Las funciones y obligaciones del personal están descritas a continuación: Los datos de carácter personal y salud a los que tenga acceso únicamente se podrán utilizar para los fines que fueron recabados. En ningún caso podrán ser cedidos o comunicados a terceros sin el consentimiento del Responsable del fichero, ni tan siquiera después de haber finalizado la relación laboral. Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos, la reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias. Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo la autorización del responsable de seguridad. Salvaguarda y protección de las contraseñas personales.


Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio. Gestión de incidencias Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma al administrador del sistema, o en su caso del registro de la misma en el sistema de registro de incidencias del Fichero. El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario. Gestión de soportes (cds, diskettes…): Los soportes que contengan datos del Fichero, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Fichero, deberán ser borrados físicamente antes de su utilización, de forma que los datos que contenían no sena recuperables. Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a los que no tengan acceso personas no autorizadas para el uso del Fichero que no estén por tanto relacionadas en el documento de seguridad. Cuando la salida de datos del Fichero se realice por medio de correo electrónico los envíos se realizaran, siempre y únicamente, desde una dirección de correo controlada por el administrador de seguridad, dejando constancia de estos envíos en el directorio histórico de esa dirección de correo o en algún otro sistema de registro de salidas que permita conocer en cualquier momento los envíos realizados, a quien iban dirigidos y la información enviada. Cuando los datos del fichero deban ser enviados fuera del recinto físicamente protegido donde se encuentra ubicado el Fichero, bien sea mediante un soporte físico de grabación de datos o bien sea mediante correo electrónico, deberán ser encriptados de forma que solo puedan ser leídos e interpretados por el destinatario. Consecuencias del incumplimiento Las consecuencias que se derivan del incumplimiento de las obligaciones por parte del trabajador, como son la protección inadecuada de los datos de carácter personal, la fuga de datos, el acceso no autorizado, etc…, conlleva la puesta en marcha del poder disciplinario del empresario a través del despido y otras medidas disciplinarias. En Palma de Mallorca a 1 de enero de 2099 Juan Juan Juan Ana Ana Ana


Documento de acceso de datos por parte de ACTITUR SL a fichero de terceros. ACTITUR SL Dispone de acceso a los datos del fichero de personal de EXCURSIONCITAS SL con la finalidad de gestión de las excursiones. dicho acceso deberá estar regulado mediante un contrato de prestación de servicios o añadiendo una cláusula en el contrato que se firma cuando solicitan el servicio. Modelo cláusula a añadir: Las partes reconocen que ACTITUR SL podrá tener acceso al fichero nóminas, personal y recursos humanos con sistema manual y titularidad de EXCURSIONCITAS SL cuya finalidad es gestión de personal. Con el fin de prestar los servicios contratados según nuestra actividad Organización de excursiones y actividades, y que este acceso es necesario para el desarrollo de las funciones descrita, así mismo ACTITUR SL se compromete a mantener las medidas de seguridad correspondiente según el RD 1720/2007 de 21 de diciembre y a no revelar ni usar dicha información para fines distintos de los solicitados por el Responsable del fichero.


Cartel: información previa recogida de datos de clientes y/o proveedores

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

En cumplimiento de lo previsto en la LOPD 15/1999 de 13 de diciembre y en el RD 1720/2007 de 21 de diciembre le informamos que los datos que nos ha facilitado quedarán incorporados en el fichero Clientes y/o proveedores con sistema mixto y titularidad de ACTITUR SL, cuya finalidad es la gestión de los clientes contable, fiscal y administrativa, publicidad y prospección comercial En todo momento podrá ejercer sus derechos de oposición, acceso, rectificación y cancelación de los datos de carácter personal que legalmente le corresponden, dirigiéndose por escrito a la dirección

ACTITUR SL C/ Miguel Angel Riera 14 bjs CP 07004 Palma de Mallorca

Le informamos que facilitar los datos supone la prestación del consentimiento expreso para el tratamiento de los mismos, incluidos los datos especialmente protegidos, a la hora de recibir información publicitaria de ACTITUR SL. Así mismo, en el supuesto de que nos haya facilitado o facilite datos de carácter personal de terceras personas, él mismo garantiza que está facultado legítimamente para facilitar los referidos datos y que ha procedido a informar a los interesados de dicha cesión de datos, cumpliendo en todo momento la legalidad vigente y responderá ante ACTITUR SL en caso de que no sea así.

la protecciÓn de datos aplicada al sector...

Documents