Información sobre la Ley Orgánica de Protección de Datos (LOPD)

Información sobre la Ley Orgánica de Protección de Datos
(LOPD)
Agenda
 Los datos personales
 LOPD. Historia
 Conceptos básicos.
 AEPD - Problemática de no cumplir con la LOPD.
 Obligaciones empresariales.
o Componente legal.
o Componente organizativo.
o Componente técnico.
 Pasos a seguir para adecuar la empresa.
Los datos personales
¿Porqué de esta ley?
Los datos personales
Nuestro día a día
Las nuevas tecnologías
LOS DATOS PERSONALES PERMITEN ES HABITUAL QUE PRACTICAMENTE EL DESARROLLO Y APLICACIÓN DE
IDENTIFICAR A UNA PERSONA.
PARA CUALQUIER ACTIVIDAD SEA LAS NUEVAS TECNOLOGÍAS EN EL
NECESARIO
RECOGERLOS
Y TRATAMIENTO DE LA INFORMACIÓN.
UTILIZARLOS.
El nombre, apellidos, dirección postal,
e-mail, teléfono, nº de matrícula del
coche, huella digital, fotografía,
grabación de vídeo, ADN, ... son datos
que identifican a una persona, ya sea
de forma directa o indirecta.
Cuando
abrimos
una
cuenta,
matriculación en un curso, en el
gimnasio, solicitud de participación en
un concurso, cuando se reserva un
vuelo o un hotel, cuando se pide cita
en el médico, cuando busca trabajo,
cada vez que efectuo un pago con
tarjeta, cuando navego por internet...
constantemente en la vida diaria dejo
rastro sobre mis gestiones.
LOPD
Ha supuesto comodidad y
rapidez en el tratamiento e
intercambio de los datos que se
realiza
cotidianamente.
La
bondad y progreso que nos
aportan las tecnologías es claro,
pero se hace necesario garantizar
el equilibrio entre modernidad y
la garantía de los derechos de los
ciudadanos.
LOPD - Historia
1978
Constitución
Española
1992 LORTAD
1995
Parlamento y
consejo
Europeo
1999
Regalmento
medidas de
seguridad
1999 LOPD
2000
Implantación
medidas de
seguridad
La ley orgánica
15/1999, de 13 de
diciembre de 1999,
de protección de
datos de caracter
personal.
Esta normativa
afecta al 100% de las
empresas de nuestro
país. (clientes,
proveedores o
personal)
Actualidad
Conceptos básicos
¿QUE ES UN FICHERO?
Se entiende por "Fichero" todo conjunto de datos de carácter personal, cualquiera que fuese su forma o
modalidad de creación, almacenamiento, organización y acceso.
Ejemplo de ficheros tipo por organización:
1ª Obligación de registrar nuestros
CLIENTES
ficheros ante la AEPD
Dentro de la página Web de la Agencia Española de
Protección de Datos, podemos conocer si una
organización tiene inscritos ficheros.
PROVEEDORES
PERSONAL
www.agpd.es
CANDIDATOS
Agencia Española de Protección de Datos
Muy graves.
Multa de
300.506 € a
601.012 €
Graves. Multa
de 60.101 € a
300.506 €
Leves. Multa de 601 € a
60.101 €
... es un Ente de Derecho Público, cuya
finalidad principal es velar por el
cumplimiento de la legislación sobre
protección de datos personales y controlar su
aplicación; cualquier actuación que sea
contraria a las exigencias contenidas en la
LOPD puede ser objeto de denuncia ante la
Agencia: www.agpd.es
Las sanciones impuestas tras la
inspección encaso de incumplimiento
son elevadísimas, las mas altas de la Unión
Europea, conllevando sanciones que en la
mayoría de los casos oscilan los 60.000 y los
300.000 €
Incumplimiento de la LOPD
Nivel de la
infracción
LEVE
GRAVE
MUY
GRAVE
Descripción de la infracción
1. No atender la solicitud de rectificación o cancelación por
motivos formales.
2. No proporcionar información a APD.
3. No solicitar inscripción de fichero en el RGPD (puede ser
infracción grave)
4. Recoger datos personales sin proporcionar información a
los afectados.
5. Incumplir el deber de secreto (puede ser infracción grave)
Algunas infracciones son:
1. Recoger datos personales sin consentimiento expreso de
los afectados.
2. Tratar o usar datos de carácter personal incumpliendo la
legislación (puede se infracción muy grave).
3. Mantener datos inexactos, sin rectificar o cancelar
4. Mantener ficheros, locales, programas o equipos con
datos personales sin las debidas condiciones de seguridad
5. Vulnerar el deber de secreto en ficheros de nivel medio.
Entre otras:
1. Recoger datos de forma engañosa o fraudulenta.
2. Comunicar o ceder los datos de carácter personal, fuera
de los casos en que esté permitido.
3. Transferencia de datos a países sin nivel equiparable de
protección y sin autorización de la APD.
4. No atender sistemáticamente los derechos de acceso,
rectificación, cancelación u oposición.
5. No atender sistemáticamente el deber notificación de la
inclusión de datos personales.
Sanción prevista
601 - 60.101€
60.101 - 300.506€
300.506 - 601.012€
Conceptos básicos
 NO ES LO MISMO TRATAR DATOS MERAMENTE IDENFICATIVOS (nombre, teléfono, etc) QUE
DATOS QUE PUEDEN COMPROMETER A LA PERSONA (enfermedades, deudas, orientación
sexual).
• Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico...
Básico
Medio
Alto
•Datos relativos a la comisión de infracciones administrativas o penales
•Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios
Comunes de la Seguridad Social.
•Ficheros sobre solvencia patrimonial o de crédito.
•Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal,
etc...)
•Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas
•Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual.
•Datos recabados para fines policiales sin consentimiento de las personas afectadas
•Datos de derivados de actos de violencia de género
La AEPD
Política de la
agencia
Campaña de
sensibilización
No sancionar los
registros
Se financia con las sanciones
Obligaciones de la empresa
Obligaciones legales
Obligaciones organizativas
Obligaciones técnicas
Obligaciones legales
1º MOMENTO:
El momento de la recogida de los datos , bien directamente del
interesado o de un tercero
2º MOMENTO:
El momento del tratamiento automatizado de los datos, que
pueden ser cruzados y relacionados en forma automática con otros datos.
3º MOMENTO:
El momento de la utilización y, en su caso, comunicación a terceros
de los resultados del tratamiento, conocido esta última como “cesión o comunicación de
datos”
Obligaciones organizativas y técnicas
OBLIGACIONES TECNICAS Y ORGANIZATIVAS :
REGLAMENTO DE DESARROLLO (RDLOPD) 1720/2007
FICHEROS Y TRATAMIENTOS
AUTOMATIZADOS
FICHEROS Y TRATAMIENTOS
NO AUTOMATIZADOS
Obligaciones empresariales organizativas y
técnicas
OBLIGACIONES A DEARROLLAR
Documento de seguridad
Funciones y obligaciones del personal
Registro de incidencias
Control de acceso lógico
Registro de salida de soportes
Identificación de usuarios
Copias de respaldo y recuperación
Responsable de seguridad
Auditoria bianual
Control de acceso físico
Registro de entrada de soportes
Distribución cifrada de soportes
Cifrado de telecomunicaciones
Registro de accesos
Archivo
Almacenamiento
Custodia
AUTOMATIZADOS
NO AUTOMATIZADOS
BASICO MEDIO ALTO BASICO MEDIO ALTO




























































Pasos en la adaptación
1º FASE:ANALISIS DE LA ORGANIZACIÓN Y SITUACIÓN JURÍDICA DE LOS FICHEROS
REGISTRO DE FICHEROS EN EL RGPD
1 SEMANA
2ª FASE: ANALISIS DE LOS SISTEMAS INFORMÁTICOS.
INFORME TÉCNICO LOPD Y GUIA DE RECOMENDACIONES
3ª FASE: DESARROLLO DE PROCEDIMIENTOS Y COBERTURA LEGAL
2
SEMANAS
DESARROLLO DOCUMENTO DE SEGURIDAD COBERTURA LEGAL, JURÍDICA Y ORGANIZATIVA
4º FASE: FORMACIÓN Y ASESORAMIENTO FINAL
1 SEMANA
ENTREGA DE DOCUMENTACIÓN,FORMACIÓN Y ASESORAMIENTO FINAL
MANTENIMIENTO Y AUDITORIA
1 AÑO
Conclusiones
El desconocimiento de la ley no exime de su cumplimiento
La aplicación de la LOPD nos permitirá evitar las elevadísimas sanciones,
pero no debemos olvidar que al cumplir la ley, mejoramos la seguridad y
procedimientos de nuestra empresa y la imagen frente a nuestros
clientes, proveedores y empleados, respetando la privacidad y el
derecho a su intimidad.
El titular o propietario de los datos no es quien los posee en un fichero
(papel o informático), si no el individuo al que se refieren los datos.