Ester Chicano Tejada - Gestión de servicios en el sistema informático. IFCT0509

2 Sanciones graves: desde 40001 hasta 300000 €. Se consideran infracciones graves:Tratar datos de carácter personal sin el consentimiento de las personas afectadas.Tratar datos personales con una finalidad distinta de la que se crearon.Vulnerar el derecho de secreto.Impedir u obstaculizar el ejercicio de los derechos A.R.C.O.No informar al afectado sobre el tratamiento de sus datos cuando estos no han sido recabados del propio interesado.Incumplir los restantes deberes de notificación o requerimiento al afectado impuestos por la LOPD.Mantener los ficheros, locales, programas o equipos sin las medidas de seguridad reglamentarias.No atender los requerimientos y notificaciones de la AEPD o no proporcionar la información que les sea solicitada.Obstaculizar las inspecciones.Comunicar o ceder datos personales sin contar con legitimación para ello, excepto cuando conlleve una infracción muy grave.Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal sin autorización de disposición general, publicada en el Boletín Oficial del Estado (BOE) o en el diario oficial correspondiente.

3 Sanciones muy graves: desde 300001 hasta 600000 €. Se consideran infracciones muy graves:Recoger datos de forma engañosa o fraudulenta.Tratar o ceder datos referentes a ideología, afiliación sindical, religión y creencias sin el consentimiento expreso del afectado.Tratar o ceder datos que hagan referencia al origen racial, salud y vida sexual cuando no lo disponga una ley o el afectado no lo haya consentido expresamente.Violar la prohibición de crear ficheros sobre ideología, afiliación sindical, religión, creencias, origen racial o étnico o vida sexual, con la única finalidad de almacenar datos personales.No cesar en el tratamiento ilícito de datos personales cuando sea requerido por la Agencia de Protección de Datos o por los titulares del derecho de acceso.Transferir internacionalmente datos personales con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.

Nota

La cuantía final de las sanciones se gradúa atendiendo a una serie de criterios establecidos en la misma LOPD. Unos ejemplos son: el carácter continuado de la infracción, el volumen de los tratamientos efectuados, los beneficios obtenidos por cometer la infracción, etc.

A modo de resumen, en la siguiente tabla se muestran los diferentes tipos de infracciones, las sanciones correspondientes y su prescripción:

Actividades

7. Comente si considera adecuadas las medidas económicas para sancionar las infracciones en materia de protección de datos personales (tanto leves como graves y muy graves). Señale otras medidas no económicas que considere efectivas para estas infracciones.

Aplicación práctica

Usted, como responsable de tratamiento de datos de su empresa, acaba de darse cuenta de que se han seguido utilizando datos ilícitamente de un antiguo cliente cuando este ha solicitado reiteradamente y por vía formal la eliminación de sus datos de la base de datos de la empresa. ¿Qué tipo de infracción se estaría cometiendo? ¿De qué cuantía podría ser la sanción?

SOLUCIÓN

Cuando se tratan datos reiteradamente de forma ilícita a pesar de haber sido solicitado el cese del tratamiento de estos datos, se está incurriendo en una infracción muy grave. Por ello, las sanciones pueden ir desde los 300001 hasta los 600000 €.

Las normas y recomendaciones referentes a la gestión de la seguridad física se encuentran en la novena sección de la norma ISO/IEC 27002 (09-Seguridad Física y del Entorno), que se ha visto anteriormente. En este apartado se analizará con más profundidad y dando más detalle a las recomendaciones que se proporcionan en dicha sección.

Este punto de la norma se divide en dos partes, atendiendo a los tipos de medidas que se especifican en ellas:

1 Áreas seguras.

2 Seguridad de los equipos.

Áreas seguras

Las medidas a tomar en áreas seguras que se especifican en la norma tienen como objetivo evitar el acceso físico no autorizado y los daños o intromisiones en las instalaciones y a la información de la organización.

Los servicios de procesamiento y tratamiento de la información deben estar ubicados en áreas seguras y protegidas con un perímetro de seguridad definido por barreras y controles de entradas. La protección de dichos servicios debe ser proporcional con los riesgos identificados.

En cuanto a áreas seguras se establecen las siguientes medidas:

1 Perímetro de seguridad física: los perímetros de seguridad deben utilizarse para proteger las áreas que contengan información y recursos para su procesamiento. Son ejemplos de perímetros de seguridad: paredes, tarjetas de control de entrada a puertas, puestos manuales de recepción, etc.

2 Controles físicos de entrada: las áreas de seguridad deben protegerse con controles de entrada adecuados que garanticen solo la entrada de personal autorizado. Por ejemplo, utilizar controles de autenticación como tarjetas de acceso para entrar en áreas donde se almacena o procesa información sensible.

3 Seguridad de oficinas, habitaciones y medios: debería diseñarse y aplicarse medidas de seguridad física para oficinas, habitaciones y medios. Por ejemplo, los directorios y teléfonos internos no deberían estar accesibles al público.

4 Protección contra amenazas externas e internas: se deberían asignar y aplicar medidas de protección física contra daños por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre. Por ejemplo, poner extintores ubicados en zonas de alto riesgo de incendio.

5 Trabajo en áreas seguras: se deberían diseñar y establecer directrices para trabajar en áreas seguras. Por ejemplo, no permitir equipo fotográfico, de vídeo, etc., en el recinto excepto si se recibe una autorización para ello.

6 Áreas aisladas de carga y descarga: deben estar controlados los puntos de acceso, como áreas de entrega y carga, y otras zonas por donde personas no autorizadas pueden llegar a ingresar al local. Por ejemplo, el acceso al área de carga y descarga desde fuera del edificio debería estar restringido al personal identificado y autorizado.

Seguridad de los equipos

El objetivo de las medidas vinculadas a la seguridad de los equipos consiste en evitar cualquier pérdida, daño, robo o deterioro de los activos y la interrupción de las actividades de la organización.

Estas medidas deben tener en cuenta la protección del equipo tanto de amenazas físicas como ambientales:

1 Ubicación y protección del equipo: el equipo debe ubicarse en espacios que reduzcan las amenazas y peligros ambientales y los riesgos de accesos no autorizados. Por ejemplo, utilizar membranas de protección del teclado en oficinas industriales.