Información sobre la Ley Orgánica de Protección de Datos (LOPD)
Transcripción
Información sobre la Ley Orgánica de Protección de Datos (LOPD)
Información sobre la Ley Orgánica de Protección de Datos (LOPD) Agenda Los datos personales LOPD. Historia Conceptos básicos. AEPD - Problemática de no cumplir con la LOPD. Obligaciones empresariales. o Componente legal. o Componente organizativo. o Componente técnico. Pasos a seguir para adecuar la empresa. Los datos personales ¿Porqué de esta ley? Los datos personales Nuestro día a día Las nuevas tecnologías LOS DATOS PERSONALES PERMITEN ES HABITUAL QUE PRACTICAMENTE EL DESARROLLO Y APLICACIÓN DE IDENTIFICAR A UNA PERSONA. PARA CUALQUIER ACTIVIDAD SEA LAS NUEVAS TECNOLOGÍAS EN EL NECESARIO RECOGERLOS Y TRATAMIENTO DE LA INFORMACIÓN. UTILIZARLOS. El nombre, apellidos, dirección postal, e-mail, teléfono, nº de matrícula del coche, huella digital, fotografía, grabación de vídeo, ADN, ... son datos que identifican a una persona, ya sea de forma directa o indirecta. Cuando abrimos una cuenta, matriculación en un curso, en el gimnasio, solicitud de participación en un concurso, cuando se reserva un vuelo o un hotel, cuando se pide cita en el médico, cuando busca trabajo, cada vez que efectuo un pago con tarjeta, cuando navego por internet... constantemente en la vida diaria dejo rastro sobre mis gestiones. LOPD Ha supuesto comodidad y rapidez en el tratamiento e intercambio de los datos que se realiza cotidianamente. La bondad y progreso que nos aportan las tecnologías es claro, pero se hace necesario garantizar el equilibrio entre modernidad y la garantía de los derechos de los ciudadanos. LOPD - Historia 1978 Constitución Española 1992 LORTAD 1995 Parlamento y consejo Europeo 1999 Regalmento medidas de seguridad 1999 LOPD 2000 Implantación medidas de seguridad La ley orgánica 15/1999, de 13 de diciembre de 1999, de protección de datos de caracter personal. Esta normativa afecta al 100% de las empresas de nuestro país. (clientes, proveedores o personal) Actualidad Conceptos básicos ¿QUE ES UN FICHERO? Se entiende por "Fichero" todo conjunto de datos de carácter personal, cualquiera que fuese su forma o modalidad de creación, almacenamiento, organización y acceso. Ejemplo de ficheros tipo por organización: 1ª Obligación de registrar nuestros CLIENTES ficheros ante la AEPD Dentro de la página Web de la Agencia Española de Protección de Datos, podemos conocer si una organización tiene inscritos ficheros. PROVEEDORES PERSONAL www.agpd.es CANDIDATOS Agencia Española de Protección de Datos Muy graves. Multa de 300.506 € a 601.012 € Graves. Multa de 60.101 € a 300.506 € Leves. Multa de 601 € a 60.101 € ... es un Ente de Derecho Público, cuya finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación; cualquier actuación que sea contraria a las exigencias contenidas en la LOPD puede ser objeto de denuncia ante la Agencia: www.agpd.es Las sanciones impuestas tras la inspección encaso de incumplimiento son elevadísimas, las mas altas de la Unión Europea, conllevando sanciones que en la mayoría de los casos oscilan los 60.000 y los 300.000 € Incumplimiento de la LOPD Nivel de la infracción LEVE GRAVE MUY GRAVE Descripción de la infracción 1. No atender la solicitud de rectificación o cancelación por motivos formales. 2. No proporcionar información a APD. 3. No solicitar inscripción de fichero en el RGPD (puede ser infracción grave) 4. Recoger datos personales sin proporcionar información a los afectados. 5. Incumplir el deber de secreto (puede ser infracción grave) Algunas infracciones son: 1. Recoger datos personales sin consentimiento expreso de los afectados. 2. Tratar o usar datos de carácter personal incumpliendo la legislación (puede se infracción muy grave). 3. Mantener datos inexactos, sin rectificar o cancelar 4. Mantener ficheros, locales, programas o equipos con datos personales sin las debidas condiciones de seguridad 5. Vulnerar el deber de secreto en ficheros de nivel medio. Entre otras: 1. Recoger datos de forma engañosa o fraudulenta. 2. Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido. 3. Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD. 4. No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición. 5. No atender sistemáticamente el deber notificación de la inclusión de datos personales. Sanción prevista 601 - 60.101€ 60.101 - 300.506€ 300.506 - 601.012€ Conceptos básicos NO ES LO MISMO TRATAR DATOS MERAMENTE IDENFICATIVOS (nombre, teléfono, etc) QUE DATOS QUE PUEDEN COMPROMETER A LA PERSONA (enfermedades, deudas, orientación sexual). • Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico... Básico Medio Alto •Datos relativos a la comisión de infracciones administrativas o penales •Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social. •Ficheros sobre solvencia patrimonial o de crédito. •Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...) •Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas •Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual. •Datos recabados para fines policiales sin consentimiento de las personas afectadas •Datos de derivados de actos de violencia de género La AEPD Política de la agencia Campaña de sensibilización No sancionar los registros Se financia con las sanciones Obligaciones de la empresa Obligaciones legales Obligaciones organizativas Obligaciones técnicas Obligaciones legales 1º MOMENTO: El momento de la recogida de los datos , bien directamente del interesado o de un tercero 2º MOMENTO: El momento del tratamiento automatizado de los datos, que pueden ser cruzados y relacionados en forma automática con otros datos. 3º MOMENTO: El momento de la utilización y, en su caso, comunicación a terceros de los resultados del tratamiento, conocido esta última como “cesión o comunicación de datos” Obligaciones organizativas y técnicas OBLIGACIONES TECNICAS Y ORGANIZATIVAS : REGLAMENTO DE DESARROLLO (RDLOPD) 1720/2007 FICHEROS Y TRATAMIENTOS AUTOMATIZADOS FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS Obligaciones empresariales organizativas y técnicas OBLIGACIONES A DEARROLLAR Documento de seguridad Funciones y obligaciones del personal Registro de incidencias Control de acceso lógico Registro de salida de soportes Identificación de usuarios Copias de respaldo y recuperación Responsable de seguridad Auditoria bianual Control de acceso físico Registro de entrada de soportes Distribución cifrada de soportes Cifrado de telecomunicaciones Registro de accesos Archivo Almacenamiento Custodia AUTOMATIZADOS NO AUTOMATIZADOS BASICO MEDIO ALTO BASICO MEDIO ALTO Pasos en la adaptación 1º FASE:ANALISIS DE LA ORGANIZACIÓN Y SITUACIÓN JURÍDICA DE LOS FICHEROS REGISTRO DE FICHEROS EN EL RGPD 1 SEMANA 2ª FASE: ANALISIS DE LOS SISTEMAS INFORMÁTICOS. INFORME TÉCNICO LOPD Y GUIA DE RECOMENDACIONES 3ª FASE: DESARROLLO DE PROCEDIMIENTOS Y COBERTURA LEGAL 2 SEMANAS DESARROLLO DOCUMENTO DE SEGURIDAD COBERTURA LEGAL, JURÍDICA Y ORGANIZATIVA 4º FASE: FORMACIÓN Y ASESORAMIENTO FINAL 1 SEMANA ENTREGA DE DOCUMENTACIÓN,FORMACIÓN Y ASESORAMIENTO FINAL MANTENIMIENTO Y AUDITORIA 1 AÑO Conclusiones El desconocimiento de la ley no exime de su cumplimiento La aplicación de la LOPD nos permitirá evitar las elevadísimas sanciones, pero no debemos olvidar que al cumplir la ley, mejoramos la seguridad y procedimientos de nuestra empresa y la imagen frente a nuestros clientes, proveedores y empleados, respetando la privacidad y el derecho a su intimidad. El titular o propietario de los datos no es quien los posee en un fichero (papel o informático), si no el individuo al que se refieren los datos.