Toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. El silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones.

La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Sí. La Ley 59/2003, de 19 de diciembre, de firma electrónica, diferencia entre tres tipos de firma electrónica; la firma electrónica, la firma electrónica avanzada, y la firma electrónica reconocida.

La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

Son certificados reconocidos los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en la Ley 59/2003, de 19 de diciembre, de firma electrónica, en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.

Se considera documento electrónico la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado.

El documento electrónico será soporte de:

  • Documentos públicos, por estar firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la ley en cada caso.

  • Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica.

  • Documentos privados.

Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.

Según la definición que recoge la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, la factura electrónica es un documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y la integridad de su contenido, lo que impide el repudio de la factura por su emisor.

Si. Debe recordarse que si se ha realizado de la forma legalmente prevista y respetando el contenido mínimo que debe contener cualquier factura (sea electrónica o no) tiene plena eficacia.

La LOPD define dato de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables, y el Reglamento de desarrollo de la misma, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, lo define como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.

  • NOTIFICACIÓN DE LOS FICHEROS a la Agencia Española de Protección de Datos antes de la creación de los mismos. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles.
  • RESPETO A LOS PRINCIPIOS establecidos por la normativa: principio de calidad de los datos, respetar el derecho de información en la recogida de los datos, obtención del consentimiento del afectado,
  • IMPLANTAR MEDIDAS DE SEGURIDAD: se deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas se recogerán en un DOCUMENTO DE SEGURIDAD.
  • ATENDER LOS DERECHOS de los interesado o afectados.
  • Realización de AUDITORÍA DE SEGURIDAD: A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

Según el tipo de infracción que se cometa, la normativa prevé una sanción. Las infracciones se califican como leves, graves o muy graves.

Las sanciones leves van desde 601,01 a 60.101,21 euros.Una sanción leve puede ser el no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos (cuando no sea constitutivo de infracción grave), o proceder a la recogida de datos de carácter personal de los afectados sin proporcionarles la información que señala la LOPD.

Las sanciones graves van desde 60.101,21 a 300.506,05 euros. Una sanción grave puede ser recoger datos de carácter personal sin el consentimiento expreso de las personas afectadas, en los casos en que este consentimiento sea necesario. También puede ser una infracción grave el mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad.

Las sanciones muy graves van desde 300.506,05 a 601.012,10 euros. Una sanción muy grave puede ser el recoger datos en forma engañosa y fraudulenta. También estaremos ante una infracción muy grave si se comunican o ceden datos de carácter personal, fuera de los casos en que estén permitidas legalmente. También estaremos ante una infracción muy grave si no se atienden, u obstaculizan de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

Es probable que su organización cuente con ficheros tales como el de nóminas de sus trabajadores (aunque cuente con el servicio externo de una asesoría, la responsabilidad del fichero es de la organización), clientes, proveedores, currículums, etc, siendo por tanto aplicable la vigente normativa de protección de datos personales.