Lopd: Nivel medio de seguridad

gluc · #1 (**permalink**) 18/08/2011, 02:31

Buenos días!

Trabajo en una Asesoría y hace dos años hice un curso de formación a distancia sobre la LOPD. Después del curso (que no me enteré de mucho porque es una copia de la ley y yo de formación legal tengo poca) intenté implanta la LOPD en la empresa y di de alta tres ficheros: Personal, Fiscal y Contable. Fiscal y Contable los di de alta con un nivel de seguridad medio porque pensaba que al tener datos bancarios les correspondía el nivel medio.

Ahora que hay que hacer la auditoría (que vamos con retraso) hemos descubierto un programa que te ayuda a implantar la LOPD y me he dado cuenta que "Los datos de los que sean responsables la entidades financieras" que yo pensaba que era la cuenta bancarea de nuestro clientes, resulta que corresponde a los datos que tienen los bancos, o sea, los ficheros que supuestamente tienen que dar de alta los bancos.

Menudo líooooo ... ahora tendré que modificar los ficheros?? o no merece la pena??

Si alguien me puede ayudar, gracias

freegirl · #2 (**permalink**) 18/08/2011, 04:23

Veo que lo conseguiste!

Como ya te comenté la verdad que desconozco si los datos financieros que tratáis en una Gestoría son de nivel medio o básico, pero sí vale la pena saber en qué nivel estás por las medidas de seguridad a adoptar.

Pero una gestión administrativa, contable y fiscal de una empresa normalmente es de tipo básico. Si te fijas en el propio modelo "NOTA" si haces una alta tipo ya te lo pone predeterminado.

Supongo que también lleváis el tema de nóminas ¿no? te puede interesar esto: http://legalidadinformatica.blogspot...e-nominas.html

PAra tener un ejemplo, si haces una "alta" de un fichero "tipo": "Nóminas Recursos Humanos" por defecto són de tipo básico.
https://www.agpd.es/portalwebAGPD/ca...ad_Privada.pdf

Cualquier cambio que hagas en los ficheros sí deberías notificar los cambios, tanto a nivel de fichero inscrito en la AEPD como en el documento de seguridad.

Por otro lado, también debéis tener en cuenta otra cosa, cuando un cliente os da datos (en los que presupongo que habrá datos personales de sus clientes) vosotros pasáis a ser "encargado de tratamiento", por lo que tu cliente (responsable del fichero) y vosotros (encargado de trata.) deberéis tener un contrato firmado.

Bueno, es mi mini-opinión. Supongo que pasará algún experto pasará por el post y te dará más luz.

un saludo

eryca · #3 (**permalink**) 18/08/2011, 05:08

Los Niveles de Seguridad que corresponden a cada fichero atendiendo a su calificación son:
Nivel básico: Conjunto de medidas de seguridad que deben adoptar TODOS los ficheros que contengan datos personales.

Nivel Medio: Conjunto de medidas de seguridad que deben de adoptar todos los ficheros de carácter personal que contengan datos:
- relativos a la comisión de infracciones administrativas o penales.
- relativos a la hacienda pública.
- relativos a servicios financieros.
- aquellos cuyos datos, considerados en su conjunto, permitan una evaluación de la personalidad del interesado.

Nivel Alto: datos relativos a la ideología, religión, creencias, origen racial, salud, vidad sexual.

En tu caso, las medidas de seguridad que debeís adoptar por los ficheros que trataís deben ser tanto de nivel básico como de nivel medio.

Como bien señala freegirl, los responsables del tratamiento de los datos personales, son la gestoría y las entidades financieras. Existe un "acceso a datos personales por cuenta de tercero" (art 12 de la LOPD) y por tanto se requiere un contrato expreso de prestación de servicios. Ojo, hay acceso y no cesión de datos (art 11 LOPD)

gluc · #4 (**permalink**) 19/08/2011, 01:34

Freegirl, el que la sigue la consigue jiji ... gracias a ti claro!

Lo del tema del contrato de encargado de Tratamiento lo tengo claro, lo del fichero de personal también (nivel de seguridad alto, por el tema de las revisiones médicas), es el nivel medio el que me ha liado.

Entonces Eryca los tengo bien? es que el programa que tenemos, en las tutoriales, me dice que los datos relativos a la comisión de infracciones administrativas o penales, relativos a la hacienda pública y relativos a servicios financieros, son para entidades públicas y aquí es cuando me he quedado muerta.

Otra cuestión .... En el fichero de fiscal cuando es temporada de RENTA, para hacer las declaraciones se recogen todos los datos fiscales y familiares, ya que, si se tienen hijos o mayores a cargo, si se tienen minusvalias tanto del declarante, como de algún miembro de la familia ... estos son datos de nivel alto? por la minusvalía ... hay que recoger documentación que acredite la minusvalía....

Uuufffff que jaleo

Gracias,

eryca · #5 (**permalink**) 22/08/2011, 03:31

Entonces Eryca los tengo bien? es que el programa que tenemos, en las tutoriales, me dice que los datos relativos a la comisión de infracciones administrativas o penales, relativos a la hacienda pública y relativos a servicios financieros, son para entidades públicas y aquí es cuando me he quedado muerta.

Otra cuestión .... En el fichero de fiscal cuando es temporada de RENTA, para hacer las declaraciones se recogen todos los datos fiscales y familiares, ya que, si se tienen hijos o mayores a cargo, si se tienen minusvalias tanto del declarante, como de algún miembro de la familia ... estos son datos de nivel alto? por la minusvalía ... hay que recoger documentación que acredite la minusvalía....

Uuufffff que jaleo

Gracias,[/QUOTE]

Es cierto, que la calificacion y tratamiento de actos que suponen una infraccion admt o penal, corresponde a la administracion publica, pero los particulares (despachos, gestorias...) tratan datos concernientes a la Hacienda publica y a servicios fiscales y es por ello que vienen obligados a adoptar las correspondientes medidas de seguridad.

En cuanto a la documentacion que acredite la minusvalia, desconozco si debe o no presentarse, entiendo que no, pero si debe guardarse en caso de inspeccion. Te sugiero, no obstante, que te pongas en contacto con la Agencia Española de Proteccion de datos que te orientaran en todas tus dudas.

jamf · #6 (**permalink**) 24/08/2011, 02:39

Hola

Te recomiendo que leas el informe de la AEPD en el enlace que te pongo, es específico sobre nivel de seguridad de los ficheros para asesorías y gestorías.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/medidas_seguridad/common/pdfs/2009-0511_Nivel-de-seguridad.-Asesor-ii-as-fiscales-y-laborales.pdf

No obstante te pego las conclusiones de este informe que como verás te permiten tener un nivel de seguridad básico en tus ficheros:

Como consecuencia de todo lo que se ha venido señalando, y siempre que se tengan en cuenta las aclaraciones contenidas en los informes que se han reproducido, cabe extraer las siguientes conclusiones:

1. En relación con los ficheros de gestión de nóminas o recursos humanos será posible la implantación de medidas de seguridad de nivel básico siempre que los datos de salud de los trabajadores se limiten a los enumerados en el apartado a) de este informe.

2. En cuanto a los ficheros relacionados con la función de asesoría fiscal de los clientes, cabrá implantar sobre los mismos las medidas de seguridad de nivel básico siempre que el tratamiento de los datos de salud se limite al de discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado.

www.techlegal.es
Derecho Tecnológico