Ofrece soluciones profesionales de informática (TI -Tecnología Informática)
para los especialistas de Oftalmológica
Principal Medisys Oftal Medisys Oftal-Imagen Servicios Contactos Servicio técnico
Ofrece soluciones profesionales de informática (TI -Tecnología Informática) para los especialistas de Oftalmológica Principal Medisys Oftal Medisys Oftal-Imagen Servicios Contactos Servicio técnico |
|
|
Multas de 3000 hasta 600 000€ en casos graves cuando no se cumple el nivel alto de protección de datos de caráter personal. Ley orgánica 15/91999 de 13. Diciembre, de protección de datos de caráter personal La presente Ley Orgánica será de aplicación a datos de cáracter personal registrados en soporte físico que haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por sectores públicos y privado. Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal. Puntos importantes Artículo 2. definiciones. A efectos de este Reglamento, se entenderá por: 1.- Sistema de información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. 2.- Usuario: Sujeto o proceso autorizado para acceder a datos o recursos. 3.- Recurso: Cualquier parte componente de un sistema de información. 4.- Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de diversos recursos. 5.- Identificación: Procedimiento de reconocimiento de la identidad del usuario. 6.- Autenticación: Procedimiento de comprobación de la identidad de un usuario. 7.- Control del acceso: Mecanismo que en función a la identificación ya autenticada permite acceder a datos o recursos. 8.- Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que pude ser usada en la autenticación de un usario. 9.- Incidencia: Cualquier anomalia que afecte o pudiera afectar la seguridad de los datos. 10.- Soporte: Objeto fisico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. 11.- Resoponsable de seguridad: Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. 12.- Copia de respaldo: Copia de datos de un fichero automatizado en un soporte que posibilite su recuperación. Artículo 3. Niveles de seguridad. 1.- Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto 2.- Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información Artículo 4. Aplicación de los niveles de seguridad. 1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad como de nivel básico. 2.- Los ficheros que contengan datos de relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Oránica 5/1992, deberán reunir, además de los de nivel básico, las calificadas como nivel medio. 3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, ademas de la medidas del nivel básico y medio, las calificadas como nivel alto.4._ Cuando los ficheros contengan un conjunto de datos de caráter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los articulos 17,18,19 y 20. 5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específícas vigentes. Artículo 5.- Acceso a datos a través de redes de comunicaciones. Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Artículo 6.- Régimen de trabajo fuera de los locales de la ubicación del fichero. La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Artículo 7.- Ficheros temporales. 1.- Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento. 2.- Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación. Capítulo II. Medidas de seguridad del nivel Básico Articulo 8.- Documento de seguridad.1.- El responsable del fichero eleborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. 2.- El documento deberá contener, como minimo, los siguientes aspectos: a.- Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b.- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. c.- Funciones y obligaciones del personal. d.- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e.- Procedimiento de notificación, gestión y respuesta ante las incidencias. f.- Los procedimientos de realización de copias de respaldo y de recuperación de los datos. 3.- El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. 4.- El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Artículo 9.- Funciones y obligaciones del personal. 1.- Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas, de acuerdo con lo previsto en el articulo 8.2.c) 2.- El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Artículo 10.Registro de incidencias. El procedimiento de notificación de incidencia contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma. Artículo 11.- Identificación y autenticación. 1.- El responsable del fichero se encargará de que exista una relación actualizada de usarios que tengan acceso autorizado al sistema de información y establecer procedimientos de identificación y autenticación para dicho acceso. 2.- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 3.- Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible. Artículo 12.- Control de acceso 1.- Los usarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. 2.- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 3.- La relación de usuarios a la que se refiere el articulo 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos. 4.- Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero. Artículo 13.- Gestión de soportes 1.- Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. 2.- La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada, por el responsable del fichero. Artículo 14.- Copias de respaldo y recuperación 1.- El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 2.- Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdidad o destrucción. 3.- Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos. Capítulo III. Medidas de seguridad del nivel Medio Artículo 15. Documento de seguridad. El documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 del presente Reglamento, la ídentificación del responsable o responsables de seguridad, los controles periódicos que se deban realizar para verifícar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado. Artículo 16. Responsable de seguridad El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Regalamento. Artículo 17. Auditoría. 1.- Los sistemas de información e instalaciones de tratamientos de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años. 2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medídas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. Artículo 18.- Identificación y autenticación 1.- El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usario que intente acceder al sistema de información y la verificación de que está autorizado. 2.- Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Artículo 19.- Control de acceso fisico. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de caráter personal. Artículo 20.- Gestión de soportes. 1.- Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el numero de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada. 2.- Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamenmte, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. 3.- Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario. 4.- Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. Artículo 21. Registro de incidencias. 1.- En el registro regulado en el articulo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sído necesario grabar manualmente en el proceso de recuperación. 2.- Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos. Artículo 22. Pruebas con datos reales. Las pruebas anteriores a la implatación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de ficheros tratado. Capítulo IV. Medidas de seguridad del nivel Alto Artículo 23. Distribución de soportes. La distribución de los soportes que contengan datos de carácter personal se realizará cifrado dicho datos o bien utilizado cualquier otro mecanismo que garantice dicha información no sea inteligible ni manipulada durante su trasporte. Artículo 24. Registro de accesos 1.- De cada acceso se guardarán, como mínimo, la identificación del usario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2.- En el caso de que el acceso haya sido autorizado será preciso guardar la información que permita identificar el registro accedido. 3.- Los mecanismos que permiten el registro de datos detallados en los párrafos anteriores estarán bajo control directa del responsable de seguridad sin que se deba permitir, en ningún caso, la desactivación de los mismos. 4.- El período mínimo de conservación de los datos registrados será de dos años. 5.- El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y eloborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. Artículo 25.- Copias de respaldo y recuperación. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en lugar diferente de aquél en que se encuentren los equipos informaticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento. Artículo 26.- Telecomunicaciones. La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Capítulo V. Infracciones y sanciones Artículo 27.- Infracciones y sanciones. 1.- El incumplimiento de las medidas de seguridad descritas en el presente Reglamento será sancionado de acuerdo con lo establecido en los artículos 43 y 44 de la Ley Orgánica 5/1992, cuando se trata de ficheros de titularidad privada. El procedimiento a seguir para la imposición de la sanción a la que se refiere el párrafo anterior será el establecido en el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. 2.- Cuando se trate de ficheros de los que sean responsables las Administraciones Públicas se estará, en cuanto al procedimiento y a las sanciones, a lo discpuesto en el articulo 45 de la Ley Orgánica 5/1992. Articulo 28. Responsables Los responsables de los ficheros, sujetos al régimen sancionador de la Ley Orgánica 5/1992, deberán adoptar las medidas de indole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el presente Reglamento. Capítulo VI. Competencias del director de la agencia de protección de datos. Articulo 29.- Competencias del del Director de la Agencia de Protección de datos. El director de la Agencia de Protección de Datos podrá, de conformidad con lo establecido en el artículo 36 de la Ley Orgánica 5/1992; 1.- Dictar, en su caso y sin perjuicio de las competencias de otro órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica 5/1992. 2.- Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros cuando no se cumplan las medidas de seguridad previstas en el presente Reglamento. Disposición transitoria única.- Plazos de implantación de las medidas. En el caso de sistemas de información que se encuentran en funcionamiento a la entrada en vigor del presente Reglamento, las medidas de seguridad de nivel básico previstas en el presente Reglamento deberán implantarse en el plazo de seis meses desde su entrada en vigor, las de nivel medio en el plazo de un año y las de nivel alto en el plazo de dos años. Cuando los sistemas de informacíón que se encuentren en funcionamiento no permitan tecnológicamente la implantación de alguna de las medidas de seguridad previstas en el presente Reglamento, la adecuación de dicho sistemas y la implatación de las medidas de seguridad deberán realizarse en plazo máximo de tres años a contar desde la entrada en vigor del presente Reglamento. Nota: Por la comisión de infracciones muy graves, multa de 300 001 hasta 600 000 € Por la comisión de infracciones graves, multa de 60 001 hasta 300 000 € Por la comisión de infracciones leves, multa de 3 000 hasta 60 000 € Ejemplo de un documento para empleados
|
Datos para Lasik
Capturar imagenes
Graduacion
diferentes equipos
Campimetro |
|
Copyright Medisys
|
