Post on 25-Sep-2018
2
� La Ley Orgánica de Protección de Datos es unanormativa que impone una serie deobligaciones a TODAS las empresas yorganizaciones, públicas y privadas, que en eldesarrollo de sus actividades traten datos depersonas físicas.
� ¿Está obligada mi empresa a cumplir con laLOPD?: Sí, en la medida que realicemostratamiento de datos de carácter personal.
¿QUÉ ES LA LOPD?
3
Es un Derecho fundamental -definido así por lapropia Carta de los Derechos Fundamentales de laUnión Europea- que tienen, exclusivamente, laspersonas físicas, y que busca proteger los datospersonales frente a intromisiones o violacionesilegítimas de su intimidad o privacidad.
¿QUÉ ES LA PROTECCIÓN DE DATOS PERSONALES?
4
� Artículos 10 y 18.4 de la Constitución española.
� Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal (L.O.P.D.). Estávigente desde el año 2000.
� Real Decreto 1720/2007, de 21 de diciembre,Reglamento de desarrollo de la Ley Orgánica deProtección de Datos de Carácter Personal.
� Instrucciones y Recomendaciones de adecuación a laL.O.P.D., por parte de la Agencia de Protección de Datos(A.P.D.)
MARCO JURÍDICO
5
�Garantizar la protección y asegurar elcorrecto uso de los datos de carácterpersonal de las personas físicas por partede las empresas y de lasadministraciones públicas.
FINALIDAD DE LA LOPD
6
� Siempre que en nuestra actividad tratemosdatos de personas físicas.
� Por ejemplo:
� Si se ofrece algún producto o servicio que signifiquetratar con información de clientes que seanpersonas físicas.
� Si se tiene empleados o colaboradores.
� Si se tienen alumnos.
� Si se gestiona un blog con lista de suscripciones.
¿CUÁNDO ES OBLIGATORIOCUMPLIR CON LA LOPD?
7
OBLIGACION LEGAL: al igual que otra normativa (contable, fiscal,laboral, mercantil) se trata de una ley de cumplimiento obligatorio.
EVITAR SANCIONES: incumplir la normativa puede acarrearsanciones económicas (cuyas cuantía van de 900 a 600.000 €)
IMAGEN DE LA ORGANIZACIÓN: ayuda a que nuestros clientesconfíen en su empresa. Más allá de la pérdida económica, refuerzala imagen externa del negocio.
PARALIZACION DE LA ACTIVIDAD: la posibilidad de que se acuerdela inmovilización de los ficheros, en caso de sanciones graves.
OPORTUNIDAD: proteger la información como activo fundamentalde la empresa. Además de la obligación legal, constituye unaoportunidad de mejora para proteger nuestra información.
RAZONES POR LAS QUE DEBECUMPLIRSE CON LA LOPD
8
• “Cualquier información concerniente a personas físicasidentificadas o identificables”. Art. 3. a) LOPD.
• El Reglamento de la LOPD da una definición másamplio: “cualquier información numérica, alfabética,gráfica, fotográfica, acústica o de cualquier otro tipoconcerniente a personas físicas identificadas oidentificables”. Art. 5.1, f.
• Un DATO PERSONAL es toda información queidentifique o permita identificar a una persona (datosrelacionados con la identidad física, fisiológica,psíquica, económica, cultural o social)
¿QUÉ ES UN DATO PERSONAL?
9
� El nombre y los apellidos.
� El número de DNI.
� Las direcciones de contacto (tanto físicas como electrónicas)
� El número de teléfono.
� Una fotografías, la imagen grabada por una videocámara o una grabación de la voz.
� También son datos las informaciones de todo tipo que se relacionan con una persona física como su estado de salud, sus ingresos en la nómina, el domicilio, las películas que alquila o los libros que compra.
� Una dirección IP -cuando permita identificar a la persona que la ha usado-.
� La matrícula del coche.
� La huella digital de una persona.
EJEMPLOS DE DATOS PERSONALES
10
• Regla general: datos que tengan información quepodemos relacionar con una persona física, identificada oidentificable
• Consecuencias:
– Aplicación a datos de personas físicas.
– No aplicación en ningún caso a datos exclusivamentereferidos a personas jurídicas.
– Datos referidos a personas fallecidas: No se aplica, sinperjuicio que sus familiares puedan notificar sudeceso a los responsables de los ficheros otratamientos sobre los datos de éste, y solicitar lacancelación de los datos.
¿QUÉ DATOS QUEDAN AMPARADOSPOR LA LOPD?
11
– Problemas de delimitación
� Autónomos y/o Profesionales: quedan excluidoscuando sus datos se refieran a ellos en su calidad deempresarios individuales.
� Datos de contacto de sociedades: Los ficheros quecontienen datos de personas de contacto depersonas jurídicas quedan excluidos del ámbito deaplicación de la LOPD.
12
� La LOPD define dos roles básicos:
� Responsable de Fichero
� Encargado del Tratamiento
Tanto el Responsable del fichero como el Encargado del tratamiento estánobligados por la LOPD y pueden ser sancionados si no cumplen con susobligaciones.
SUJETOS QUE INTERVIENEN EN ELTRATAMIENTO DE DATOS
13
� Es la persona física o jurídica, pública o privada, que decide
sobre la finalidad, contenido y el uso del tratamiento de los
datos personales.
� Ejemplos:
� Una empresa será la responsable de los ficheros que contienen
datos sobre sus empleados y clientes.
� Un autónomo o empresario individual será el responsable del
tratamiento de los datos personales de sus clientes
� Un Ayuntamiento será el responsable del fichero del padrón.
� Un hotel será responsable del fichero de sus huéspedes.
� Un centro educativo será responsable del fichero de sus
alumnos.
EL RESPONSABLE DEL FICHERO
14
� Es la persona física o jurídica, pública o privada, qué sólo o
junto a otros, trata datos de carácter personal por orden y
cuenta del Responsable del fichero.
� Ejemplos:
� La gestoría que realiza las nóminas de nuestra actividad.
� La empresa que presta servicios para la realización de envíos
postales.
� La empresa de informática, ajeno a la organización, que realiza
tareas de mantenimiento de software sobre el fichero de datos
del responsable o la empresa de “hosting” que tenga alojados
los servidores de datos personales.
• El encargado no puede utilizar los datos para otro fin ni puedeceder los datos a un tercero. Debe restituir al responsable losdatos al finalizar la relación contractual o destruirlos.
EL ENCARGADO DEL FICHERO
15
LOS DATOS PERSONALES NO SONNUESTROS
El dato personal es propiedad de la persona titular del dato, no es de la empresa.
16
• Titular de los datos: es la persona sobre la que disponemos sus datos.La normativa lo define como afectado o interesado (art. 5)
• Fichero: todo conjunto organizado de datos personales, cualquieraque sea la forma o modo de creación, lugar o forma dealmacenamiento y organización de acceso.
• Responsable del fichero: es la persona física o jurídica que decidesobre la finalidad, contenido y uso del fichero.
• Encargado del tratamiento: Es la persona física o jurídica que realizacualquier tratamiento de datos por orden y cuenta del Responsabledel fichero.
• Agencia de Protección de Datos (AGPD): Es el “guardián” de la LOPD.Vela por el cumplimiento de esta legislación.
• Usuario: toda persona autorizada acceder a los datos existentes en losdiferentes ficheros.
Fuente: www.creditoycaucion.com
CONCEPTOS CLAVES
17
� CONSENTIMIENTO
• Los datos personales solamente pueden recogerse y utilizarse sipreviamente contamos con el consentimiento del titular mismos.
• La regla general obtener el consentimiento del interesado.
� SEGURIDAD
� El responsable que trata datos personales debe garantizar su seguridad
� “El responsable del fichero, y, en su caso, el encargado del tratamiento
deberán adoptar las medidas de índole técnica y organizativas
necesarias que garanticen la seguridad de los datos de carácter
personal y eviten su alteración, pérdida, tratamiento o acceso no
autorizado…”
PRINCIPIOS FUNDAMENTALES DEPROTECCIÓN DE DATOS
18
� PRINCIPIO DE CALIDAD
• PRINCIPIO DE CALIDAD DE LOS DATOS: Solamente se deben tratardatos adecuados, pertinentes y no excesivos en relación con el ámbitoy las finalidades legítimas para las que se hayan obtenido.
• Recabados de forma lícita• Datos exactos y actualizados. Deben ser cancelados cuando no sean
necesarios.
• INFORMACIÓN: Es un derecho del titular de los datos y una obligacióndel responsable del tratamiento, que se le informe de forma expresa,precisa e inequívoca de quien es el responsable del fichero y cuál seráel uso y destino del tratamiento de los datos.
19
� DEBER DE SECRETO
• El secreto es esencial para garantizar el derecho fundamental a laprotección de datos. Sin secreto sobre los datos no existiría estederecho.
• «Artículo 10. Deber de secreto. El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter
personal estén obligados al secreto profesional respecto de los mismos
y al deber de guardarlos, obligaciones que subsistirán aun después de
finalizar sus relaciones con el titular del fichero o, en su caso, con el
responsable del mismo.”
• Este deber de secreto afecta a todas las personas que accedan ainformación personal contenida en un sistema sujeto al cumplimientode lo previsto por la Ley Orgánica de Protección de Datos Personales.
Fuente: www.creditoycaucion.com
20
• Inscripción de los ficheros en la Agencia de Protección deDatos. art. 26 LOPD. www.agpd.es
• Deber de información previa a la recogida de datos (informar alos titulares de la finalidad del fichero) art. 5 LOPD.
• Prohibición de ceder datos a terceros sin consentimiento delinteresado.
• Garantizar al titular de los datos el ejercicio de los derechos deacceso, rectificación, oposición y cancelación.
• Redactar un Documento de Seguridad y aplicar su contenido.
• Celebración de contratos con terceros con acceso a los datos.
• Implantación de las medidas de seguridad que impidan elacceso a los datos a personas no autorizadas y eviten sualteración o pérdida.
• Realizar auditorías de verificación.
OBLIGACIONES DEL RESPONSABLE DEL FICHERO
21
� Incluir una cláusula en la que se informe a losinteresados de lo siguiente:
a) De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los
destinatarios de la información.
b) de la identidad y dirección del responsable del tratamiento o, en
su caso, de su representante.
c) De la posibilidad de ejercitar los derechos de acceso,
rectificación, cancelación y oposición.
COMO ACTUAR PARA TRATAR LOSDATOS
22
Conforme a lo previsto en la Ley Orgánica 15/1999 de Protección de Datos de CarácterPersonal, le informamos que sus datos serán incluidos en un fichero denominado Clientes,inscrito en el Registro de la Agencia de Protección de Datos y cuyo Responsable del fichero esla Peluquería Tijeras S.L.
La finalidad de este fichero es la de gestionar la relación con nuestros clientes y remitirleinformación comercial sobre nuestros productos. Si no deseara recibir información comercialmarque la siguiente casilla:
Usted da como titular de los datos, su consentimiento y autorización para la inclusión de losmismos en el fichero anteriormente detallado. En cualquier caso, podrá ejercitargratuitamente los derechos de acceso, rectificación, cancelación y oposición dirigiéndose a laPeluquería Tijeras S.L, en c/ …………., ……., indicando en la comunicación L.O.P.D.
• FIRMA:
CLÁUSULA DE CONSENTIMIENTO
23
“Los datos utilizados para esta comunicación provienen defuentes consideradas de acceso público, concretamente[................]., atendiendo a la Ley Orgánica 15/1999, de 13 dediciembre, y su Reglamento de desarrollo. Puede ejercer susderechos de acceso, rectificación, cancelación u oposicióndirigiéndose por escrito ante el responsable del fichero:[................], SL (Dirección [................]”
CLÁUSULA CUANDO LOS DATOS HAN SIDOOBTENIDOS DE FUENTES ACCESIBLES ALPÚBLICO. TRATAMIENTO DE DATOS CONFINES PUBLICITARIO O COMERCIAL
24
� No todos los datos personales tienen la mismaimportancia: atendiendo al tipo de datos querecojamos de nuestros clientes y usuarios elnivel de protección será más o menos elevado.
� Determinados datos personales, cuentan conuna protección legal más intensa (datos deideología, de religión o creencias, de salud, devida sexual, de afiliación sindical…)
TRES NIVELES DE SEGURIDADSEGÚN EL TIPO DE DATOS QUETRATEMOS
25
• La Ley identifica tres niveles acumulativos de
medidas de seguridad, según el tipo de datos
que tratemos:
– Básico ( datos identificativos, académicos,
profesionales)
– Medio (aplicable a ficheros de infracciones
administrativas o penales, solvencia, hacienda
pública y servicios financieros)
– Alto (aplicable al tratamiento de datos sensibles:
datos de salud, religión, afiliación sindical,
ficheros policiales, etc.)
NIVELES DE SEGURIDAD
� Contar con un documento de seguridad que describa las funciones y
obligaciones del personal sobre los ficheros personales de la empresa.
� Registro de incidencias (por ejemplo, si hubo un hurto o un incendio)
� Obligación de custodia por usuarios de documentos que se usan.
� Emplear mecanismos que obstaculicen la apertura de ficheros.
� Identificación de usuarios y accesos autorizados.
� Control de acceso: los usuarios solo tendrán acceso a los recursos que
precisen para el desarrollo de sus funciones ( aplicar mecanismos que
impidan el acceso a datos a personas no autorizadas)
� Traslado de soportes: medidas para prevenir su sustracción, pérdida o
acceso indebido.
� Realizar copias de respaldo (“back up”) y de recuperación de archivos,
en el caso de ficheros automatizados.
NIVELES DE SEGURIDAD: NIVELBÁSICO
� Medidas de seguridad de nivel básico.
� Identificación del responsable de seguridad.
� Auditoría bienal.
� Registro de entrada y salida de soportes.
� Medidas adicionales de identificación de usuarios.
� Control de acceso físico a los locales donde se encuentren los sistemas
de información.
� Procedimiento de copias de respaldo y recuperación de datos.
� Registro de incidencias
NIVELES DE SEGURIDAD: NIVELMEDIO
28
� Medidas de seguridad de nivel básico y medio.
� Custodia de soportes: la persona que se encuentra a cargo de la
documentación deberá impedir que pueda ser accedida por usuarios
no autorizados.
� Gestión de soportes: encriptar datos en soportes y en dispositivos
móviles. (debe registrarse si se va a sacar información de la empresa)
� Copias de respaldo y procedimientos de recuperación en lugar
diferentes del que se encuentren los equipos.
� Registrar usuario, hora, fichero, tipo de acceso y registro accedido.
Control del responsable de seguridad. Conservación dos años.
� Cifrado de telecomunicaciones (enviar correos electrónicos con
información encriptada)
NIVELES DE SEGURIDAD: NIVEL ALTO
29
� Las imágenes son Datos personales. Obligación de adecuar las
cámaras a la LOPD.
� Notificar a la Agencia de Protección de Datos la existencia del
fichero denominado “Videovigilancia”.
� Informar sobre la captación y/o grabación de las imágenes.
� Las cámaras y videocámaras instaladas en espacios privados no
pueden obtener imágenes de espacios públicos.
� Colocar en lugar visible el cartel que informa de que se están
captando imágenes.
� La instalación de las cámaras debe realizarse por empresas
debidamente autorizada por el Ministerio del Interior, si éstas
tienen acceso o manipulan las imágenes que se recogen.
INSTALACIÓN DE CÁMARAS DEVIGILANCIA y LOPD
30
DERECHOS DEL TITULAR DE LOS DATOS:DERECHOS “ARCO”
� A través de los Derechos de acceso, rectificación, cancelación yoposición, el afectado o interesado puede requerir o quererconocer que información personal se está tratando, de quién o dedónde se obtuvieron los datos y a quién se ha cedido. También sepuede rectificar errores, solicitar cancelar datos que no deberíanser tratados u oponerse.
� El ejercicio de estos derechos es personalísimo.
� Se ejercen ante el responsable del fichero. El contenido de lassolicitudes viene establecido en el art. 25 del RDLOPD.
� El responsable debe atender la petición, aún cuando no existandatos personales del solicitante.
31
• SEGURIDAD: La seguridad debe ser extremada al máximo para impedir elacceso a los datos a personas no autorizadas y para evitar su alteración opérdida (armarios con llaves, uso de contraseñas en ordenadores, copias deseguridad “backups”, …)
• DEBER DE SECRETO: Obligación a guardar secreto profesional respecto de losdatos que traten.
• CESION O COMUNICACIÓN DE DATOS: No se pueden comunicar o cederdatos a terceros sin el consentimiento del interesado.
• DERECHOS DEL INTERESADO O AFECTADO: El interesado tiene derecho aacceder a sus datos y a conocer el tratamiento al que se les somete, así comoa oponerse al tratamiento y a exigir su rectificación, y/o cancelación en loscasos que corresponda.
• FORMACION E INFORMACIÓN: a las personas que trabajan en la empresasobre las responsabilidades en protección de datos.
¿CÓMO DEBEMOS ACTUAR?
32
� Las contraseñas son la mejor forma de impedir accesos no controlados a losdatos. No anotarlas en lugares visibles ni las comparta con otros usuarios.Cambiar de contraseña cuando se considere oportuno (al menos cada seismeses)
� Al abandonar el puesto de trabajo, activar el protector de pantalla o bloquearla sesión; la reanudación del trabajo supondrá la activación mediantecontraseña.
� No instalar programas ajenos a los proporcionados y sin consentimiento delResponsable de Seguridad. Especial atención a este respecto con losprogramas de intercambio de archivos.
� Practicar una política de mesas limpias: Guardar documentación con Datosde carácter Personal en lugar seguro. No dejarlos a la vista o sobre la mesa alfinalizar la jornada de trabajo. Guarda esta información en un armariocerrado con llave.
OTRAS RECOMENDACIONES PRÁCTICAS
33
� Destruir el papel que contenga datos de carácter personal y que ya no se utilice.
� Somos responsables de la información que manejamos. Se debe comunicar al Responsable de seguridad cualquier incidencia que afecte a la seguridad de los datos (accesos indebidos, problemas con las copias de seguridad, virus, etc.).
� Recordar al personal que las herramientas informáticas que la empresa pone a disposición son exclusivamente para el desarrollo de su trabajo, por tanto deben utilizarse sólo para tal fin.
Para más información no dude en ponerse en contacto con nosotros
Plan de Empleo Comarcal Rioja Alavesa
BILBAO
Alcalde Uhagón, 12- 2º
Tel. +34 94 410 21 44
info@bultz-lan.com
DONOSTIA
Urbieta, 64 -1º izda
Tel. +34 943 47 20 96
info@bultz-lan.com
VITORIA-GASTEIZ
Pedro Orbea, 8
Tel. +34 945 12 00 08
info@bultz-lan.com