5 Datos relativos a la salud: las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes solo podrán tratar los datos de carácter personal relativos a la salud de aquellas personas que acudan a ellos o que tengan que ser tratadas en los mismos.
6 Principio de seguridad de los datos: el responsable del fichero deberá adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, evitando el acceso y alteración de los mismos por usuarios no autorizados.
7 Principio de deber de secreto: tanto el responsable del fichero como todos aquellos que participen en el tratamiento de datos personales están obligados al secreto profesional de los mismos, incluso cuando ha finalizado la relación que tengan con el titular del fichero.
8 Principio de comunicación de datos: los datos personales objeto de tratamiento se podrán comunicar a terceros cuando se cumplan las siguientes condiciones:Que la cesión se realice con consentimiento previo del interesado.Que se produzca para el cumplimiento de finalidades relacionadas con las funciones legítimas del cedente y del concesionario.Que el interesado esté informado de la identidad del cesionario y de los fines de la cesión de los datos.
9 Principio de acceso a los datos por cuenta de terceros: el acceso por cuenta de terceros es aquel que se produce con usuarios distintos al responsable del tratamiento del fichero. La persona, distinta del responsable del tratamiento, que trate los datos se convertirá en el encargado del fichero y prestará servicios al responsable del mismo, actuando bajo las condiciones establecidas anteriormente en una relación contractual.
Actividades
6. Para una mayor retención y comprensión de los conceptos, realice un breve esquema con los distintos principios fundamentales de la protección de datos.
4.4. Derechos de las personas
La LOPD, en el título III, reconoce varios derechos de las personas sobre sus datos de carácter personal:
1 Derecho de acceso: el usuario puede solicitar y obtener gratuitamente información de sus datos personales sometidos a tratamiento, el origen de los mismos y las comunicaciones realizadas o previstas.
2 Derecho de rectificación: cuando el titular de los datos considera que estos están incompletos o inexactos, tiene derecho a solicitar su rectificación al responsable del fichero. Si esto se produce, el responsable debe modificar los datos en el plazo de diez días.
3 Derecho de cancelación: cuando el titular de los datos tiene constancia de que los datos tratados no se ajustan a la LOPD tiene derecho a solicitar su cancelación al responsable del tratamiento. Del mismo modo que con la rectificación, la cancelación deberá hacerse efectiva en un plazo máximo de diez días.
4 Derecho de oposición: cuando el titular tenga motivos fundados y legítimos relativos a una situación personal, podrá oponerse al tratamiento de sus datos personales.
5 Derecho de impugnación de valoraciones: el titular puede impugnar las decisiones jurídicas o privadas cuya finalidad esté destinada a evaluar aspectos de su personalidad o de ciertas características personales o de su comportamiento.
6 Derecho de consulta al Registro General de Protección de Datos: cualquier persona puede conocer la existencia de tratamientos de datos personales, sus finalidades y la identidad del responsable del tratamiento mediante consultas públicas y gratuitas al Registro General de Protección de Datos.
7 Derecho de indemnización: los interesados que sufran daño o lesión en sus bienes o derechos, como consecuencia del incumplimiento de la LOPD por parte del responsable o del encargado del tratamiento, tienen derecho a solicitar una indemnización.
Nota
Los derechos de acceso, rectificación, cancelación y oposición se consideran derechos fundamentales a la protección de datos de carácter personal y también son conocidos como derechos A.R.C.O.
4.5. La seguridad de los datos y el documento de seguridad
Como ya se ha mencionado anteriormente, el responsable del fichero y el encargado del tratamiento deben adoptar las medidas técnicas y organizativas necesarias que garanticen la seguridad de los datos personales.
En virtud de esto, se definió el Real Decreto 1720/2007, de 21 de diciembre, en el que se establecen las medidas de seguridad que deben realizarse para garantizar la privacidad de los datos y evitar el acceso a los mismos de usuarios no autorizados.
El Real Decreto 1720/2007 obliga al responsable del fichero o del tratamiento a elaborar un documento de seguridad que recoja las medidas de seguridad vigentes. Estas medidas serán de obligado cumplimiento para el personal con acceso a los sistemas de información.
Se puede redactar un único documento de seguridad para todos los ficheros o tratamientos o bien realizar documentos individualizados.
Según el tipo de datos que contengan los ficheros, se deben cumplir más o menos requisitos para garantizar la integridad y confidencialidad de seguridad. Por lo tanto, se establecen tres niveles de seguridad a aplicar al documento, dependiendo de la naturaleza de los datos:
| Nivel básico |
| Aplicable a todos los ficheros que incluyan datos de carácter personal. |
| Nivel medio |
| Se deben aplicar las medidas de nivel medio y las de nivel básico. Unos ejemplos de datos personales con nivel medio de seguridad son: información financiera, información de seguros y planes de seguros, comisión de infracciones penales, comisión de infracciones tributarias, etc. |
| Nivel alto |
| Se aplican las medidas de nivel básico y medio, además de las de nivel alto a los ficheros que contengan datos relativos a: ideología, religión, origen racial, salud, vida sexual, datos recabados para fines policiales sin consentimiento del afectado y ficheros que contengan datos referentes a actos de violencia de género. |
Medidas de seguridad de los datos
El documento de seguridad debe incluir una serie de medidas exigibles a los ficheros y a los tratamientos automatizados. Estas medidas se distinguen atendiendo al nivel de seguridad que contengan:
1 Medidas de nivel básico:Definir y establecer las funciones y obligaciones de cada usuario que tenga acceso a los datos personales, con las autorizaciones correspondientes.Establecer un procedimiento de notificación y gestión de las incidencias para poder realizar un seguimiento de las mismas.Mantener controles de acceso para que solo accedan a los datos aquellas personas que estén autorizadas. Estos controles estarán establecidos por el responsable del fichero o tratamiento.Los soportes y documentos que contengan datos personales deben estar identificados e inventariados.Establecer las medidas necesarias para que haya una correcta identificación y autenticación de todo el que acceda a los datos personales.Establecer procedimientos de actuación para que semanalmente (como mínimo) se realicen copias de respaldo, excepto que no se haya producido ninguna variación de los datos durante esa semana.Establecer procedimientos de recuperación de los datos.Cada seis meses, el responsable del fichero debe verificar la correcta definición, funcionamiento y aplicación de los procedimientos de copias de seguridad y de recuperación de datos.Los dispositivos de almacenamiento de documentos no automatizados que contengan datos personales deben tener mecanismos que obstaculicen su apertura e impidan el acceso de personas no autorizadas.Mientras la documentación no esté archivada en los dispositivos de