Medidas de seguridad en ficheros automatizados de despachos

Ficheros automatizados y niveles de seguridad

Los ficheros automatizados consisten en conjuntos de datos personales organizados de forma automática y gestionados mediante, programas, soportes, y equipos informáticos.

Los tres niveles de seguridad relativos a la tipología de los datos que contiene el fichero y que condicionarán las medidas de seguridad en ficheros automatizados que deberá implementar:

Nivel de seguridad alto

Todos los ficheros automatizados de datos personales sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico. Se aplica también a los datos personales con fines policiales recabados sin consentimiento del afectado y los derivados de violencia de género.

Nivel de seguridad medio

Todos los ficheros automatizados de datos personales sobre comisión de infracciones administrativas o penales, prestación de servicios de solvencia patrimonial o de crédito, los relativos a potestades tributarias de la Administración, los relativos a servicios financieros y de mutuas de accidentes de trabajo, los que ofrezcan información sobre la personalidad y el comportamiento, y los operadores de comunicaciones electrónicas respecto de los datos de tráfico y localización.

Nivel de seguridad bajo

Todos los ficheros automatizados de datos personales sobre el resto de datos que no se engloben en las categorías anteriores.

Ficheros automatizados de seguridad básica

Respecto de las medidas de seguridad en ficheros automatizados de datos personales con un nivel de seguridad básica, hay que tener en cuenta las siguientes disposiciones:

• Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
• Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
• Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones en el despacho jurídico.
• Se establecerán mecanismos en el despacho para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
• Los soportes y documentos electrónicos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
• La salida de soportes y documentos electrónicos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera del despacho jurídico deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad
• En el traslado de la información se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte, incluida la comunicación electrónica.
• Se deberán adoptar en el despacho jurídico las medidas que garanticen la correcta identificación y autenticación de los usuarios. Se establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
• Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas dichas contraseñas.
• Deberán establecerse procedimientos de actuación para la realización, como mínimo semanal, de copias de seguridad de los datos personales, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
• Asimismo, se establecerán procedimientos para la recuperación de los datos personales que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
• Deberá llevarse un registro donde deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos sobre el mismo.
• Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos personales no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Ficheros automatizados de seguridad media

Respecto de las medidas de seguridad en ficheros automatizados de datos personales con un nivel de seguridad media, además de las consideraciones aplicables a los ficheros automatizados de datos personales de nivel y bajo, hay que tener en cuenta las siguientes disposiciones:

• En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.
• Cuando gestionen datos personales de nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de las medidas consignadas en el documento de seguridad. Igualmente deberá efectuarse una auditoría ante cambios sustanciales en los sistemas de información
• Deberá establecerse en el despacho jurídico un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.
• Igualmente, se dispondrá en el despacho de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.
• Se deberá establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado a los sistemas de información.
• Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen ubicados los equipos informáticos que den soporte a los sistemas de información.

Ficheros automatizados de seguridad alta

Respecto de las medidas de seguridad en ficheros automatizados de datos personales con un nivel de seguridad alta, además de las consideraciones aplicables a los ficheros automatizados de datos personales de nivel medio y bajo, hay que tener en cuenta las siguientes disposiciones:

• La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
• De cada intento de acceso a los sistemas de información del despacho se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.
• El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
• La distribución de los soportes informáticos que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
• Deberá conservarse una copia de respaldo de los datos personales y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas.

Recomendaciones

En función de la tipología de los datos personales que gestione en el despacho, deberá implantar medidas de seguridad en ficheros automatizados más o menos severas para asegurar dichos datos personales.

Por ello, antes de entrar de lleno a definir procesos de seguridad conviene que se haya planteado adecuadamente los ficheros de datos que deberá registrar y su tipología. Si en un mismo fichero de datos personales conviven datos de distinto nivel de seguridad se deberá aplicar siempre el más restrictivo, con que merece la pena, como ya le comenté anteriormente, clasificar sus ficheros de datos personales por uso y tipología.

La severidad de las medidas de seguridad en ficheros automatizados a implantar va a condicionar mucho el coste de las mismas así como el funcionamiento del propio despacho jurídico, por lo que conviene realizar un planteamiento adecuado desde el principio.

​LEIDO EN https://indalics.com/proteccion-de-datos-personales/medidas-de-seguridad-en-ficheros-automatizados

​

CORDIALMENTE, ANTONIO CÁNOVAS GÓMEZ

 BLOGG: http://antoniocanovas.blogspot.com

TWITTER: @ASEVICONSULTOR

ASEVIC Consultores, s.l.p.
Consultoría Laboral: Administrativa y Jurídica

Partida Marxassos, nº 7
C.C. Urbania, locales 1 y 2
BENIDORM (03502-Alicante)
Tf.: 96.680.60.09
Fax: 96.688.97.65

Este mensaje y ficheros anexos son confidenciales y se dirigen exclusivamente al destinatario referenciado. Si usted no lo es y lo ha recibido por error, le rogamos que nos lo comunique y proceda a destruirlo, y se abstenga de utilizar este mensaje y ficheros anexos, so pena de incurrir en responsabilidades legales. El emisor no garantiza la integridad, ni seguridad del presente correo, ni se responsabiliza de posibles perjuicios derivados de cualquiera manipulación efectuada por terceros. Según Ley de Servicios de Sociedad de Información y Comercio Electrónico y LO 15/1999, de Protección de Datos, le comunicamos que su correo electrónico forma parte de un fichero automatizado, teniendo derecho de oposición, acceso, rectificación y cancelación de sus datos.

Permiso retribuido por enfermedad e incapacidad temporal (IT) de muy corta duración. Justificación de la ausencia al trabajo.

Permiso retribuido por enfermedad e incapacidad temporal (IT) de muy corta duración. Justificación de la ausencia al trabajo.

Cuando existe un periodo de enfermedad no superior a tres días no es necesario que el trabajador sea declarado en situación de baja médica o IT, por lo que debe aceptarse como justificante los documentos de ausencia o reposo emitidos por los facultativos del Servicio Público de Salud o Mutua, según la respectiva contingencia. No cabe, por tanto, exigir la declaración de baja médica o incapacidad temporal para entender justificadas dichas ausencias y poder disfrutar del permiso o licencia retribuida. El permiso retribuido por enfermedad recogido en los convenios colectivos no tiene la misma naturaleza jurídica que la IT y, por tanto, no resulta de aplicación en orden a su justificación la normativa contenida en la Orden ESS 1187/2015, de 15 de junio, ya que mientras en el primer caso el trabajador tiene derecho a  ausentarse de su puesto de trabajo sin pérdida del salario, la IT se configura como un supuesto de suspensión del contrato con exoneración de las obligaciones recíprocas de trabajar y de remunerar el trabajo. Por más que pudieran coincidir parcialmente las situaciones que dan lugar al permiso retribuido examinado y a la IT, no son idénticas, ya que para acceder al permiso basta que concurra una enfermedad, mientras que para que nazca la IT es necesario, además, que se reciba asistencia sanitaria de la Seguridad Social, exigencia no requerida en el permiso.

(SAN, Sala de lo Social, de 19 de junio de 2017, núm. 88/2017)

​http://www.laboral-social.com/permiso-retribuido-enfermedad-validez-justificantes-reposo-domiciliario.html​

CORDIALMENTE, ANTONIO CÁNOVAS GÓMEZ

 BLOGG: http://antoniocanovas.blogspot.com

TWITTER: @ASEVICONSULTOR

ASEVIC Consultores, s.l.p.
Consultoría Laboral: Administrativa y Jurídica

Partida Marxassos, nº 7
C.C. Urbania, locales 1 y 2
BENIDORM (03502-Alicante)
Tf.: 96.680.60.09
Fax: 96.688.97.65

Este mensaje y ficheros anexos son confidenciales y se dirigen exclusivamente al destinatario referenciado. Si usted no lo es y lo ha recibido por error, le rogamos que nos lo comunique y proceda a destruirlo, y se abstenga de utilizar este mensaje y ficheros anexos, so pena de incurrir en responsabilidades legales. El emisor no garantiza la integridad, ni seguridad del presente correo, ni se responsabiliza de posibles perjuicios derivados de cualquiera manipulación efectuada por terceros. Según Ley de Servicios de Sociedad de Información y Comercio Electrónico y LO 15/1999, de Protección de Datos, le comunicamos que su correo electrónico forma parte de un fichero automatizado, teniendo derecho de oposición, acceso, rectificación y cancelación de sus datos.

COTIZACIÓN AL RETA A PARTIR DEL SEGUNDO SEMESTRE DE 2017

Cotización al RETA a partir del segundo semestre de 2017 A partir del 29-6-2017 a, la base máxima de cotización para los trabajadores autónomos es de 3.751,20 €/mes y la base mínima es de 919,80 €/mes. Bases de cotización La base de cotización para los trabajadores autónomos se fija en función de la edad que tengan a fecha 1-7-2017, conforme a las reglas que se indican: a) Es la que elija el propio trabajador dentro de las bases máxima y mínima fijadas en el caso de: - trabajadores autónomos menores de 47 años, o; - trabajadores autónomos de 47 años, siempre que su base de cotización en el mes de diciembre de 2016 haya sido igual o superior a 1.964,70 €/mes o que causen alta en el RETA con posterioridad a la citada fecha; si su base de cotización es inferior a 1.964,70 €/mes no pueden elegir una base de cuantía superior a 2.023,50 €/mes, salvo que ejerciten su opción en tal sentido antes del 30-6-2017, lo que producirá efectos a partir del 1-7-2017, o que se trate del cónyuge supérstite del titular del negocio que, como consecuencia del fallecimiento de éste, haya tenido que ponerse al frente del mismo y darse de alta en este régimen especial con 47 años de edad, en cuyo caso no existe esta limitación b) Para los trabajadores que tengan 48 o más años, la base ha de estar comprendida entre las cuantías de 992,10 y 2.023,50 €/mes, salvo que se trate del cónyuge supérstite del titular del negocio que, como consecuencia del fallecimiento de éste, haya tenido que ponerse al frente del mismo y darse de alta en este régimen especial con 45 o más años de edad, en cuyo caso la elección de bases ha de estar comprendida entre las cuantías de 919,80 y 2.023,50 €/mes. No obstante, los trabajadores que antes de los 50 años hayan cotizado en cualquiera de los regímenes de la Seguridad Social por espacio de 5 o más años quedan sujetos a las siguientes reglas, que se fijan en función de que la última cotización acreditada hubiera sido: - igual o inferior a 1.964,70 €/mes, en cuyo caso deben cotizar por una base comprendida entre 919,80 y 2.023,50 €/mes; - superior a 1.964,70 €/mes, en cuyo caso han de cotizar por una base comprendida entre 919,80 €/mes y el importe de aquélla, incrementado en un 3,00%, con el tope de la base máxima de cotización; esta regla se aplica también con respecto a los trabajadores autónomos que con 48 o 49 años de edad hubieran ejercitado la opción por una base superior a 1.682,70 €/mes antes del 30-6-2011 (L 39/2010 art.132.cuatro.2 pfo. 2º). Tipos de cotización Es el 29,80% o el 29,30% si el interesado está acogido está acogido a la protección por contingencias profesionales o por cese de actividad. Si el interesado no tiene cubierta la protección por IT, el tipo es el 26,50%. Para las contingencias de accidentes de trabajo y enfermedades profesionales se aplican los porcentajes de la tarifa de primas. Aquellos trabajadores que no tengan cubierta la protección dispensada a las contingencias derivadas de accidentes de trabajo y enfermedades profesionales han de efectuar una cotización adicional equivalente al 0,10%, aplicado sobre la base de cotización elegida, para la financiación de las prestaciones por riesgo durante el embarazo y riesgo durante la lactancia. La Ley de Presupuestos Generales del Estado para 2017 incrementa, a partir del 29-6-2017, las bases mínimas en este régimen especial y fija las bases y tipos en función de la edad que tenga el trabajador autónomo a fecha de 1-7-2017. LO MÁS DESTACADO EN PRENSA

CORDIALMENTE, ANTONIO CÁNOVAS GÓMEZ

 BLOGG: http://antoniocanovas.blogspot.com

TWITTER: @ASEVICONSULTOR

ASEVIC Consultores, s.l.p.
Consultoría Laboral: Administrativa y Jurídica

Partida Marxassos, nº 7
C.C. Urbania, locales 1 y 2
BENIDORM (03502-Alicante)
Tf.: 96.680.60.09
Fax: 96.688.97.65

Este mensaje y ficheros anexos son confidenciales y se dirigen exclusivamente al destinatario referenciado. Si usted no lo es y lo ha recibido por error, le rogamos que nos lo comunique y proceda a destruirlo, y se abstenga de utilizar este mensaje y ficheros anexos, so pena de incurrir en responsabilidades legales. El emisor no garantiza la integridad, ni seguridad del presente correo, ni se responsabiliza de posibles perjuicios derivados de cualquiera manipulación efectuada por terceros. Según Ley de Servicios de Sociedad de Información y Comercio Electrónico y LO 15/1999, de Protección de Datos, le comunicamos que su correo electrónico forma parte de un fichero automatizado, teniendo derecho de oposición, acceso, rectificación y cancelación de sus datos.

NO RETENCIÓN DE IRPF EN EMPLEADOS DE HOGAR

Normativa aplicada:RIRPF, RD 439/2007, arts. 75 y 76.

Fecha de Resolución:10 de Mayo de 2017

Contratación por un cabeza de familia de una empleada del hogar cumpliendo los requisitos establecidos por la legislación laboral correspondiente.

Cuestión planteada: Si la contratación de una empleada del hogar genera obligaciones fiscales, en particular en materia de retenciones.

La obligación de practicar retenciones e ingresos a cuenta se establece en el artículo 99 de la Ley 35/2006, de 28 de noviembre del Impuesto sobre la Renta de las Personas Físicas y de modificación parcial de las leyes de los Impuestos sobre Sociedades, sobre la Renta de no Residentes y sobre el Patrimonio (BOE del día 29), siendo objeto de desarrollo —por lo que se refiere a las rentas sujetas a la misma y a los obligados a practicarla— en los artículo 75 y 76 del Reglamento del Impuesto sobre la Renta de las Personas Físicas, aprobado por el Real Decreto 439/2007, de 30 de marzo (BOE del día 31).

Respecto a la determinación del sometimiento a retención de los rendimientos que el consultante satisface a su empleado del hogar, el artículo 75.1 del Reglamento del Impuesto incluye los rendimientos del trabajo entre las rentas sujetas a retención o ingreso a cuenta, siendo esta calificación —la de rendimientos del trabajo— la que procede en el caso consultado, en cuanto los mismos proceden de una relación laboral.

Ahora bien, la práctica de las retenciones exige la existencia de un sujeto obligado a retener, lo que nos lleva al artículo 76.1 del Reglamento del Impuesto:

"1. Con carácter general, estarán obligados a retener o ingresar a cuenta, en cuanto satisfagan rentas sometidas a esta obligación:

1. Las personas jurídicas y demás entidades, incluidas las comunidades de propietarios y las entidades en régimen de atribución de rentas.

2. Los contribuyentes que ejerzan actividades económicas, cuando satisfagan rentas en el ejercicio de sus actividades.

3. Las personas físicas, jurídicas y demás entidades no residentes en territorio español, que operen en él mediante establecimiento permanente.

4. Las personas físicas, jurídicas y demás entidades no residentes en territorio español, que operen en él sin mediación de establecimiento permanente, en cuanto a los rendimientos del trabajo que satisfagan, así como respecto de otros rendimientos sometidos a retención o ingreso a cuenta que constituyan gasto deducible para la obtención de las rentas a que se refiere el artículo 24.2 del texto refundido de la Ley del Impuesto sobre la Renta de no Residentes.

(…)".

De acuerdo con lo expuesto, en el presente caso al ser satisfechos los rendimientos del trabajo por una persona física en un ámbito particular (es decir, no empresarial ni profesional), no procederá la práctica de retenciones sobre los rendimientos del trabajo que el consultante satisfaga a su empleado del hogar, por lo que —evidentemente— aquél queda al margen de las obligaciones formales y materiales que la normativa establece para los obligados a retener o ingresar a cuenta.

Conforme a lo anterior, debe concluirse que no existen obligaciones en materia de retención ni para el empleador ni para la empleada del hogar.

Lo que comunico a usted con efectos vinculantes, conforme a lo dispuesto en el apartado 1 del artículo 89 de la Ley 58/2003, de 17 de diciembre, General Tributaria (BOE del día 18).

CORDIALMENTE, ANTONIO CÁNOVAS GÓMEZ

 BLOGG: http://antoniocanovas.blogspot.com

TWITTER: @ASEVICONSULTOR

ASEVIC Consultores, s.l.p.
Consultoría Laboral: Administrativa y Jurídica

Partida Marxassos, nº 7
C.C. Urbania, locales 1 y 2
BENIDORM (03502-Alicante)
Tf.: 96.680.60.09
Fax: 96.688.97.65

Este mensaje y ficheros anexos son confidenciales y se dirigen exclusivamente al destinatario referenciado. Si usted no lo es y lo ha recibido por error, le rogamos que nos lo comunique y proceda a destruirlo, y se abstenga de utilizar este mensaje y ficheros anexos, so pena de incurrir en responsabilidades legales. El emisor no garantiza la integridad, ni seguridad del presente correo, ni se responsabiliza de posibles perjuicios derivados de cualquiera manipulación efectuada por terceros. Según Ley de Servicios de Sociedad de Información y Comercio Electrónico y LO 15/1999, de Protección de Datos, le comunicamos que su correo electrónico forma parte de un fichero automatizado, teniendo derecho de oposición, acceso, rectificación y cancelación de sus datos.