© ECIJA | | | | E CIJA Derecho y Tecnología ECIJA.

1© ECIJA | www.ecija.com | www.datospersonales.com | www.legal4.com

ECIJA

Derecho y Tecnología

ECIJA Derecho y Tecnología

Para más información: Tel. +34 91 781 61 60www.ecija.com

ECIJA - Firma líder en Servicios Legales y de Seguridad de la InformaciónECIJA - Firma líder en Servicios Legales y de Seguridad de la Información

MBA: Protección de datos29 y 30 de septiembre de 2009

MBA: Protección de datos29 y 30 de septiembre de 2009

Madrid, 29 y 30 de septiembre de 2009

Carlos A. Sáiz PeñaFco. Javier Carbayo Vázquez

Esmeralda Saracibar SerradillaNathaly Rey Arenas


ECIJA


ECIJA Derecho y Tecnología

En ECIJA somos expertos en la prestación de servicios legales en los sectores de TMT (Tecnología, Media y Telecomunicaciones) y la primera Firma especializada en Seguridad de la Información.

En la actualidad contamos con más de 250 profesionales.

Más de la mitad de las empresas del IBEX 35 han depositado su confianza en los servicios y soluciones integrales de ECIJA.

La trayectoria de ECIJA en estos ámbitos ha sido reconocida año tras año por los más prestigiosos directorios y rankings nacionales e internacionales: Expansión, CHAMBERS & PARTNERS, LEGAL 500.

Sobre ECIJA - Sobre ECIJA - Firma líder en Servicios Legales y de Seguridad de la InformaciónFirma líder en Servicios Legales y de Seguridad de la Información

ECIJA es una Firma que fusiona Derecho y Tecnología.


ECIJA


El liderazgo de ECIJA a nivel nacional la ha lanzado a la apertura de nuevas oficinas internacionales, estando presente directamente en EEUU y Latinoamérica con la apertura en 2008 de Miami y en las capitales más relevantes del mundo a través de su red estratégica internacional

Nuestra Red Internacional

Red Internacional de ECIJARed Internacional de ECIJA


ECIJA


Ranked among the top 10 Spanish law firms

Ranked among the top 15 Spanish law firms

Chambers Europe 2008/ 2009

Hugo Ecija named best Media Lawyer

The Legal 500 2008/ 2009

The Legal 500 2009

European Legal Experts 2008

Iberian Lawyer Chambers Global 2007

Leaders in TMT in Spain

Chambers Global 2008

Leaders in Intellectual Property in Spain

Chambers Europe 2007/ 2008

Leaders in TMT: Media

Leaders in Corporate & Commercial and IT & Telecom

Top 40 under 40 Awards 2007

Hugo and Álvaro Écija are selected among the Top 40 lawyers under 40 in the Iberian Market

Top Tier in TMT Recommended in IP Corporate,

Litigation and Real Estate

Top Tier in TMT and

recommended in IP,

Corporate and Real Estate

ECIJA – ReconocimientosECIJA – Reconocimientos

EXPANSIÓN

LA GACETA


ECIJA


EECIJA – Nuestros ClientesCIJA – Nuestros Clientes


ECIJA


"Llevamos depositando nuestra confianza en ECIJA desde hace seis años. Siempre nos ha impresionado la alta calidad de los servicios jurídicos que

recibimos".

Mar Sánchez, Responsable de Proyectos de BT

"ECIJA y su grupo de profesionales técnicos y jurídicos han sido responsables tanto de los servicios de consultoría como de la implantación de la herramienta

software DP Server, destinada a facilitar el control y la gestión de todos los procedimientos relativos a la LOPD en más de 300 entidades del Grupo FCC".

Gianluca D'Antonio, Director de Seguridad de la Información del Grupo FCC

"Siempre hemos encontrado una disposición máxima por parte de todos los integrantes del despacho, con un altísimo nivel de calidad en la asesoría recibida,

siendo nuestro índice de satisfacción excelente".

Alejandro de Simón, Asesoría Jurídica de Lilly

"Como empresa perteneciente a un medio de comunicación, sabemos que debemos innovar y adaptarnos a los nuevos gustos y necesidades de los

espectadores, dándoles algún valor diferencial sobre la competencia. Necesitábamos abogados que nos acompañasen y apoyasen en la andadura garantizando

que siempre cumplimos los marcos jurídicos correspondientes. Desde hace años confiamos en ECIJA para esto y no sólo nos han ayudado, sino que hemos

conseguido establecer nueva jurisprudencia trabajando en los primeros casos de España de uso de cámara oculta".

Melchor Miralles, Director General del Mundo TV

EECIJA – CredencialesCIJA – Credenciales


ECIJA


Corporate y Mercantil Fusiones y Adquisiciones Media y Entretenimiento Propiedad Intelectual e Industrial Procesal y Arbitraje Protección de Datos Público - Regulatorio Laboral Fiscal

ECIJA – Servicios LegalesECIJA – Servicios Legales

ÁREAS JURÍDICAS ÁREAS SECTORIALES

Tecnología, Media y Telecomunicaciones IT Compliance Finanzas y Seguros Farmacia, Seguros y Biotecnología Deporte y Entretenimiento Energías Renovables Inmobiliario y Turismo Private Equity Fundaciones


ECIJA


"Los problemas de seguridad de la información requieren con frecuencia soluciones que van más allá de lo meramente técnico y exigen una visión más amplia. ECIJA destaca por su capacidad para integrar visiones complejas que incluyen tanto aspectos técnicos como legales y jurídicos, así como su entorno de aplicación adecuado."

ECIJA | CONSULTING & SECURITY es la primera Firma especializada en Seguridad de la Información del mercado español.

En ECIJA | CONSULTING & SECURITY somos especialistas en servicios de Seguridad Gestionada, Certificación Electrónica, Gestión de Seguridad de la Información, Hacking Ético, Fuga de Información, Antifraude y Abuso de Marca, Compliance (Cumplimiento normativo) y Soluciones de Compliance para entidades públicas y privadas.

ECIJA | CONSULTING & SECURITY trabaja con las últimas tecnologías en gestión de seguridad de las TIC, y forma equipos multidisciplinares de profesionales con un perfil técnico-jurídico altamente cualificado para ofrecer un servicio integral único adaptado a cada cliente.

ECIJA | Firma líder en Servicios Legales y de Seguridad de la InformaciónECIJA | Firma líder en Servicios Legales y de Seguridad de la Información


ECIJA


Soluciones: ECIJA |Compliance – Herramientas para el Cumplimiento NormativoSoluciones: ECIJA |Compliance – Herramientas para el Cumplimiento Normativo

ECIJA | PCNECIJA | PCN

ECIJA | eAdministración

ECIJA | eAdministración

ECIJA | SGSIECIJA | SGSI

ECIJA | DPServerECIJA | DPServer

La herramienta de Software para la adecuación a la LOPD dirigida a grandes organizaciones públicas y privadas.

La aplicación que realizará un Análisis de los Riesgos que afectan a los Activos de su Empresa, así como una posterior Gestión de los mismos.

La herramienta que permite a las Administraciones Públicas la atención al ciudadano por vía telemática.

La herramienta para la Gestión de la Continuidad de Negocio.

ECIJA | LISIECIJA | LISI

Es la Solución integral de validación, firma electrónica, vía Internet y móvil, y custodia de documentos basada en claves públicas.

ECIJA | MiFIDECIJA | MiFID

Es la herramienta de gestión para que las empresas de inversión se adapten a la normativa MiFID.

1010

1. Seguridad de la Información2. Normativa aplicable3. ¿Por qué es importante cumplir la LOPD?4. Conceptos, Principios y Obligaciones5. Ciclo de Vida del Dato6. Reglamento de desarrollo de la LOPD7. Proceso de adecuación al Reglamento de desarrollo de la LOPD8. Fichero. Creación, propiedad e inventario9. Cómo afecta la LOPD en una empresa10. Las Medidas de Seguridad11. La Auditoría LOPD12. Los derechos A.R.C.O.13. Autoridades de Control14. Inspección por la Autoridad de Control15. Concienciación del personal16. Especial referencia: Videovigilancia17. Normativa relacionada

1. Seguridad de la Información2. Normativa aplicable3. ¿Por qué es importante cumplir la LOPD?4. Conceptos, Principios y Obligaciones5. Ciclo de Vida del Dato6. Reglamento de desarrollo de la LOPD7. Proceso de adecuación al Reglamento de desarrollo de la LOPD8. Fichero. Creación, propiedad e inventario9. Cómo afecta la LOPD en una empresa10. Las Medidas de Seguridad11. La Auditoría LOPD12. Los derechos A.R.C.O.13. Autoridades de Control14. Inspección por la Autoridad de Control15. Concienciación del personal16. Especial referencia: Videovigilancia17. Normativa relacionada

| www.ecija.com | www.legal4.com | www.datospersonales.com |

ÍNDICE

1111

1. SEGURIDAD DE LA INFORMACIÓN1. SEGURIDAD DE LA INFORMACIÓN

1212

A) SEGURIDAD DE LA INFORMACIÓN COMO MECANISMO DE PROTECCIÓN DE ACTIVOS ESTRATÉGICOS:

1. Seguridad de la Información

• Las necesidades de una Entidad en materia de Buen Gobierno Corporativo, afectan a todos los elementos, tangibles e intangibles, que se aplican al desarrollo de su actividad. Necesidad de un adecuado alineamiento de los elementos, tangibles e intangibles, entre sí y de los mismos, respecto a Buen Gobierno Corporativo.

• Seguridad de la Información -> alineamiento con los Procesos de Negocio de la Entidad, colaborar y responsabilizarse de la consecución de los objetivos sobre Buen Gobierno Corporativo, así como tener en cuenta la seguridad física como actividad crítica para los procesos de negocio.

B) EL PROCESO DE NEGOCIO SE ENCUENTRA AFECTADO POR LA FALTA DE SEGURIDAD:

• La protección de los activos intangibles de información, de la imagen y de la reputación de una Entidad, afecta al grado de protección que se procure a los stakeholders (clientes, accionistas, empleados, órganos reguladores y proveedores).

• Necesidad -> invertir gran esfuerzo en materia de Seguridad de la Información y Gobierno de las Tecnologías de la Información, buscando el análisis y control de los riesgos asociados a su utilización y el cumplimiento de las normativas aplicables.

• La Seguridad de la Información -> la protección de los elementos intangibles de información necesarios para los Procesos de Negocio y de los intereses de los stakeholders.

• Necesidad de alineamiento con el Buen Gobierno Corporativo y la Responsabilidad Social Corporativa.

1313

1. Seguridad de la Información

1414

2. NORMATIVA APLICABLE2. NORMATIVA APLICABLE

1515

LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD).

• REGLAMENTO DE DESARROLLO DE LA LOPD (REAL DECRETO

1720/2007, ENTRADA EN VIGOR: 19 DE ABRIL)

• Actuaciones AEPD (resoluciones, instrucciones, recomendaciones, etc.)

Si hay DATOS PERSONALES

TODAS LAS Compañías

TODAS LAS ÁREAS / DPTOS.

LA EXPOSICIÓN NORMATIVA PUEDE SER MAYOR EN ALGUNOS

DEPARTAMENTOS, PERO LA IMPORTANCIA DEL CUMPLIMIENTO LOPD ES COMÚN A TODOS ELLOS

2. Normativa aplicable

1616

Panorama Legislativo Básico

• Instrucciones de la Agencia Española de Protección de Datos sobre diversas materias.

• Recomendaciones e Informes Jurídicos de la Agencia Española de Protección de Datos.

• Legislación sectorial.


1717

Normativa relacionada

El cumplimiento de LOPD se está configurando cada vez más como una materia a gestionar y con el que convivir en el día a día dentro de la compañía. Cada vez más normativas afectan a LOPD:

Seguros, sanidad, bancario, telecomunicaciones. Blanqueo de capitales Bancos de tejidos, datos genéticos, etc. Lucha contra la morosidad Retención de datos para la lucha contra el terrorismo Ley de Impulso a la Sociedad de la Información Administración Electrónica y Servicios de la Sociedad de la Información Cumplimientos normativos, controles financieros y protección de accionistas (Buen Gobierno, SOX, Basilea, etc.) Más estudios del WG art. 29 Directiva Cumplimientos legales en estándares de seguridad (27001, 27002, etc.) Etc.


1818

3. ¿POR QUÉ ES IMPORTANTE CUMPLIR LA LOPD?

3. ¿POR QUÉ ES IMPORTANTE CUMPLIR LA LOPD?

1919

Posibles repercusiones derivadas del incumplimiento de la LOPD y normativa de desarrollo:

Aparición en prensa económica Daño a la imagen corporativa Desconfianza en el mercado por parte de clientes Desconfianza en las medidas de seguridad de la entidad Denuncias, inspecciones de la Agencia Española de Protección de Datos (AEPD) y de las Autoridades de Control Sanciones económicas elevadas de hasta 600.000 euros

3. ¿Por qué es importante cumplir la LOPD?

NOTA: AEPD y Autoridades de Control:• Agencia de Protección de Datos de la Comunidad de Madrid• Agencia Vasca de Protección de Datos• Agencia Catalana de Protección de Datos

2020


2121


2222


2323


2424


2525


2626


2727


2828

4. CONCEPTOS, PRINCIPIOS Y OBLIGACIONES

4. CONCEPTOS, PRINCIPIOS Y OBLIGACIONES

2929

Datos personales

Fichero

Tratamiento

Identifican o hacen identificable

Estructurado

Todo lo que se haga

Nombre y Apellidos

Recoger

Tratar

Entregar

ModificarDestruir

Aplicación no específica

Aplicaciones específicas

Ofimática

DNI o SS

Económicos

Bienes

Email

Extracciones

3030

Conceptos Básicos (I)

• Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

• Datos especialmente protegidos: ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

• Fichero: conjunto organizado de datos personales, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso, con independencia de la aplicación informática utilizada (Access, Oracle, SQL o cualquier otra que no sea típicamente una base de datos, p.e. Word, así como fichero en papel).

4. Conceptos, principios y obligaciones

3131

Conceptos Básicos (II)

• Responsable del Fichero: persona física o jurídica, pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

• Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.


3232

Otros Conceptos

• Encargado del tratamiento: persona física o jurídica, autoridad pública servicio o cualquier otro organismo que, sólo o conjuntamente, trate datos personales por cuenta del Responsable del Fichero.

• Fuente de acceso público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

• Responsable de Seguridad: Persona o personas a quienes el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

• Sistemas de información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.

• Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.


3333

Principios y Obligaciones

• Calidad de los datos (art. 4 LOPD).

- Adecuados, pertinentes, no excesivos y actuales. - Cancelar datos cuando dejen de ser necesarios o pertinentes para la

finalidad para la cual hubiesen sido recabados

• Información en la recogida (art. 5 LOPD).

- Informar al titular de los datos, en el momento de la recogida, de diversos aspectos:

de la existencia de un fichero, la finalidad y los destinatarios de las consecuencias de la obtención de los datos o la negativa a suministrarlos de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición de la identidad y dirección del responsable del tratamiento

- No titular de los datos -> Informar al titular de los datos en el plazo de tres meses


3434


• Consentimiento del afectado (art. 6 LOPD).

Es indispensable el consentimiento inequívoco del afectado:

Expreso/Tácito

Excepciones:

Ejercicio de las funciones propias de las Administraciones Públicas. Partes de un Contrato y sean necesarios para su cumplimiento o mantenimiento. Proteger un interés vital del interesado (prevención y diagnóstico médicos, etc.). Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo.


3535


• Consentimiento para el tratamiento de los datos de menores (art. 13 RLOPD).

ESPECIALIDADES Mayores de 14 años: Solo es necesario su consentimiento, salvo que una LEY pida asistencia de titulares, patria potestad o tutela. Menores de 14 años: En todo caso consentimiento de padres o tutores.

SIEMPRE Lenguaje claro e informar expresamente de lo recogido en el art. 13 RLOPD. Nunca recabar datos sobre los demás miembros de la familia (actividad profesional, información económica, etc.), salvo Identidad y dirección para solicitar consentimiento. Comprobar edad y autenticidad, en su caso, del consentimiento.


3636

• Datos especialmente protegidos: consentimiento expreso (origen racial, salud y vida sexual) o expreso y por escrito del interesado (ideología, afiliación sindical, religión y creencias), salvo:

– Prevención/Diagnóstico médico.

– Prestación asistencia sanitaria o tratamientos médicos.

– Gestión servicios sanitarios.

– Requisitos.


3737

Regla general: SIEMPRE ES NECESARIO EL CONSENTIMIENTO INFORMADO Y ACREDITABLE

Excepciones: -> NECESARIO POR LEY -> RELACIÓN CONTRACTUAL

CLÁUSULAS DE PROTECCIÓN DE DATOS

Normativa Sectorial, AAPP, etc.

Contrato de servicios o de otro tipo

• Determinan el alcance del tratamiento

• Firmadas? Siempre que sea posible

• Conservación

3838

• Deber de secreto (art. 10 LOPD).

- Empleados internos vs. empleados externos.

• Ejercicio de derechos A.R.C.O. (art. 15 y ss. LOPD)

- Derecho de acceso - Derecho de rectificación y cancelación - Derecho de oposición

• Inscripción de ficheros (art. 25 y ss. LOPD)

- Deber de la Entidad. - Todos los ficheros y tratamientos. - Sistema NOTA: Especificaciones para desarrolladores.


3939

CEDENTE

EMPRESA: RR.HH.

HACIENDA PÚBLICA/S. Social

CESIONARIO

• Requisitos:

• Necesidad de consentimiento. Excepciones.

• Cesionario: Inscripción del Fichero

• Recomendación: adopción del Contrato

• Ej.: cesión a Empresas del Grupo

• Cesión de datos (art. 11 LOPD).

MUCHAS SANCIONES PROVIENEN DEL INCUMPLIMIENTO DE ESTE PRECEPTO


4040

• Encargo de tratamiento (art. 12 LOPD)

• Prestación de Servicios por el 3º al Responsable

• No necesidad de consentimiento

• No deber de Información por Encargado

• No inscripción del fichero por Encargado

• Sí notificación del Encargo de Tratamiento en el RGPD cuando el

Responsable inscriba el fichero

• Contrato escrito obligatorio

• Subcontrataciones.

Responsable Fichero

Encargado Tratamiento


4141

Contratos de prestación de servicios SIN acceso a datos.

o NO son encargos de tratamiento o Prohibición expresa de acceso a datos personales.o Obligación de secreto respecto a los datos personales

que se hubieran podido conocer.

¿Y si hay duda sobre si accede o no a datos personales? Solución más rigurosa: encargo de tratamiento


4242

EMPRESA

COMERCIALES

PROVEEDORES DE DIRECCIONES

OTROS TERCEROS POR NORMATIVA SECTORIAL

EMPRESAS DEL GRUPO

ENTIDADES FINANCIERAS (PAGOS)

ADMINISTRACIONES PÚBLICAS

SERVICIOS EXTERNOS DE APOYO

OUTSOURCING

encargo

encargo

encargo

cesión

cesión

cesión

cesión

cesión

encargo

FORMACIÓN

cesión

SERV. INFO. EMPRESAS

cesión

NUEVAS EMPRESAS

EMPRESAS EN OTROS PAÍSES

cesión

cesión

encargo

4343


No pueden realizarse transferencias temporales, ni definitivas de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable al español sin autorización del Director de la Agencia Española de Protección de Datos, siempre que se obtengan garantías adecuadas para la transferencia.

Excepciones:

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios. d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica. e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

• Transferencia Internacional (art. 33 y 34 LOPD)

4444


Excepciones:

f) Cuando la transferencia sea necesaria para la ejecución de un Contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público (solicitada por la Administración Fiscal o Aduanera). i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo. k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

• Transferencia Internacional (art. 33 y 34 LOPD)

4545

5. CICLO DE VIDA DEL DATO5. CICLO DE VIDA DEL DATO

4646

Recogidade datos a través de

formularios

Almacenamiento en un fichero

Externalizaciónde servicios informáticos

(hosting, mantenimiento)

Entrega a 3ªempresa con

fines de publicidad

Solicitud deinformación

sobre los datos que posee la empresa

Solicitud de Modificación de

los datos

Solicitud deBorrado de los

datos

5. Ciclo de vida del dato

4747

La normativa de protección de datos tiene incidencia durante toda la vida del dato cuando es tratado por una Entidad

• Deber de información

• Consentimiento del afectado

• Principio de calidad

• Finalidad determinada

• Medidas de seguridad

• Respeto derechos de acceso, rectificación, cancelación y oposición

• Regulación contractual: encargo, cesión, transferencia internacional, etc.

• Disociación

• Medidas de Seguridad en el envío


Recogida

Tratamiento

Transmisión

4848

NEGOCIO

SISTEMAS DE INFORMACIÓN

Cumplimiento normativo

Cumplimiento LOPD

¿CÓMO?

-Normas, políticas, procedimientos, etc.

-Identificación proactiva de requerimientos

-Comprobación de cumplimiento: Controles periódicos y Auditoría (interna y externa)


4949

6. REGLAMENTO DE

DESARROLLO DE LA LOPD

6. REGLAMENTO DE

DESARROLLO DE LA LOPD

5050

Primer desarrollo legislativo de la LOPD.

Contiene desarrollos jurídicos, técnicos, organizativos y procedimentales.

Tratamientos automatizados y tratamientos no automatizados.

Publicación: 19 de enero de 2008 y entrada en vigor: 19 de abril de 2008.

Disposición Derogatoria Única:

6. Reglamento de desarrollo de la LOPD

EN VIGOR A PARTIR DEL 19 DE ABRIL DE 2008

- RD 994/99, desarrollo de la LORTAD

- RD 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la LORTAD

Excepto para medidas de seguridad:

- 12, 18 ó 24 meses para ficheros no automatizados.

- 12 a 18 meses para ficheros automatizados.

5151

Tratamiento de datos: se amplía el concepto, incluyéndose la “consulta”, “utilización” y “modificación” de datos.

Fichero no automatizado: todo conjunto de datos personales organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.

Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.

6. Reglamento de desarrollo de la LOPD – Aspectos legales

5252

• Datos de contacto: No estarán sujetos al Reglamento los ficheros que se limiten a incorporar los datos de personas físicas que presten sus servicios en empresas, cuando estos datos sean únicamente nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y fax y se especifica que sean datos profesionales.

La finalidad del fichero ha de ser el tratamiento de datos de empresas para la gestión de la relación con estás. El tratamiento del dato de la persona de contacto, si se realiza, ha de ser meramente accesorio o incidental, siendo el contacto exclusivamente el medio utilizado para dirigirse a la persona jurídica.

• Datos de empresarios individuales/autónomos: Atendiendo a los Informes y Resoluciones de la Agencia, los criterios a seguir para verificar que no resultaría de aplicación la LOPD a los empresarios individuales son:

o Que estén organizados bajo la forma de empresao Que ejerzan una actividad mercantil diferenciada de su propia actividad privadao Que sus datos aparezcan ligados a una actividad comercial o mercantilo Que sus datos sean tratados con una finalidad empresarial, es decir, que se recaben datos sobre la

empresa y no sobre el comerciante que la ha constituidoo Que el uso de sus datos se haga sólo para actividades empresariales


5353

• Prueba de cumplimiento deber de información: medio acreditable y conservación -> Responsable del Tratamiento.

• Consentimiento para finalidades no relacionadas con objeto del Contrato -> manifestación expresa de negativa al tratamiento.

• Medio sencillo y gratuito: revocación del consentimiento (p.e. Envío prefranqueado).

Obtención del Consentimiento de interesados

• Tratamiento concreto.

• Finalidad determinada.

• Cesión de datos: finalidad inequívoca y tipo de actividad del cesionario -> consentimiento nulo.

• No se presume la existencia del consentimiento del interesado.

• Concreción de solicitud tratamiento:


5454

Deber de Información

• Se deberá poder acreditar el cumplimiento.

• Se deberá conservar el soporte en que conste el cumplimiento del deber de informar. Se podrán utilizar medios informáticos o telemáticos.


5555

Tratamiento para finalidad DISTINTA del mantenimiento, desarrollo o control de la relación contractual

Se debe permitir la negativa al tratamiento o comunicación de datos: casilla (no marcada) en la cláusula de protección de datos procedimiento equivalente

¿Por ejemplo?

Servicios de valor añadidoEnvío de información comercialComunicación a terceras Empresas para que puedan ofrecer productos o servicios en condiciones ventajosas

¿ Ayudar al destinatario para evitar que las complete por defecto?


5656

Encargado del tratamiento

• Deber de diligencia en la elección.• Exigencia al Encargado del Tratamiento del cumplimiento de

medidas de seguridad.• Regulación de la subcontratación.• Ejercicio de derechos A.R.C.O. ante el Encargado del Tratamiento.• Elaborar un Documento de Seguridad sobre ficheros objeto de

tratamiento.• Posibilidad de conservar datos bloqueados.


5757

Derechos de los afectados

• Medio sencillo para su ejercicio, que no genere ingresos para el Responsable del Fichero ni coste para el afectado.

• Facilitar un medio de interlocución telemática (LISI).

• Regulación expresa del derecho de Oposición.

• Días hábiles para el cómputo de los plazos.

• Concienciación empleados.


5858

Publicidad y prospección comercial

• Responsabilidad del tratamiento cuando se contrata a terceros la realización de campañas publicitarias:

• Depuración de datos personales cuando dos o más responsables crucen sus ficheros, el tratamiento así realizado constituirá una comunicación de datos.


a) Cuando los parámetros identificativos de los destinatarios de la campaña, sean fijados por la Entidad que contrate la campaña, ésta será responsable del tratamiento de los datos. b) Cuando los parámetros fueran determinados únicamente por la Entidad o Entidades contratadas, dichas entidades serán las responsable del tratamiento.

c) Cuando en la determinación de los parámetros intervengan ambas Entidades, serán

ambas, responsables del tratamiento.

5959

Publicidad y prospección comercial

• Obligación de la Entidad que externalice la actividad de comprobación de recogida de datos según la LOPD -> p.e. Contrato.

• Creación de ficheros comunes de exclusión del envío de comunicaciones comerciales (Listas Robinson). Deber de consulta previa antes de envíos comerciales.


6060

Listas Robinson Art. 49 RLOPD, ficheros comunes para evitar el envío de comunicaciones

comerciales. Empresas dedicadas a actividades de publicidad o prospección comercial: consultar

antes de actuar. www.listarobinson.es (FECEMD, Federación de comercio electrónico y marketing

directo). Apoyado por la AEPD. Gratis para el ciudadano y coste para la empresa que quiera consultar.


6161

Solvencia patrimonial y crédito

Tratamiento -> art. 29 LOPD.

Ejercicio de derechos A.R.C.O.:

Petición dirigida al Responsable del Fichero -> obligación de satisfacción de los derechos.

Petición dirigida a Entidades a las que se preste el servicio -> comunicar al afectado aquellos datos que les hayan sido comunicados y facilitar la identidad del Responsable del Fichero.

Datos deberán conservarse en ficheros creados con la exclusiva finalidad de facilitar información crediticia del afectado.


6262


Requisitos para la inclusión (todos):

Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros. No hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto, si aquélla fuera de vencimiento periódico. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.


6363


El acreedor deberá informar al deudor, en el momento en que se celebre el Contrato y, en todo caso, al tiempo de efectuar el requerimiento, que en caso de no producirse el pago, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias.

Responsable del fichero común deberá notificar a los interesados, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos, informándole asimismo de la posibilidad de ejercitar sus derechos A.R.C.O.

Una notificación por cada deuda concreta y determinada.

Notificación deberá efectuarse a través de un medio fiable, auditable e independiente de la entidad notificante -> acreditación del envío.

Necesidad de conocer si la notificación ha sido devuelta -> no podrá proceder al tratamiento de los datos.


6464

Transferencia Internacional Modificación de criterio:

Comunicación de datos fuera de España Vs. Comunicación de datos fuera Espacio Económico Europeo.

Tipos:


A) Estados que SÍ proporcionan adecuado nivel de protección -> No autorización del Director de la AEPD.

B) Estados que NO proporcionan nivel adecuado de protección -> Sí autorización del Director de la AEPD.

6565

Cuestiones generales

Documento de Seguridad y Encargados del Tratamiento:

Responsable del Fichero facilite el acceso a los datos a un Encargado de Tratamiento que preste sus servicios en los locales del Responsable del Fichero -> Documento de Seguridad del Responsable del Fichero.

Cuando dicho acceso sea remoto -> compromiso del Encargado del Tratamiento al cumplimiento de las medidas de seguridad previstas en el Documento de Seguridad del Responsable del Fichero.

Si servicio fuera prestado por el Encargado del Tratamiento en sus propios locales -> obligación de elaborar un Documento de Seguridad o completar el propio, identificando el fichero, el responsable y las medidas de seguridad a implantar - > externalización de la gestión del Documento de Seguridad.

6. Reglamento de desarrollo de la LOPD – Aspectos técnicos

6666


• Modificación de niveles de seguridad y tipologías de datos.

• Rebaja nivel de seguridad de ficheros con datos sensibles.

• Medidas de seguridad respecto de ficheros en soporte papel (no automatizados).


6767

Revisión de los niveles de seguridad de los ficheros (I)

• Nivel Básico.

• Nivel Medio:

• Fichero solvencia patrimonial y crédito.

• Ficheros responsabilidad de la Administración Tributaria.

• Ficheros responsabilidad de Entidades financieras.

• Ficheros responsabilidad de Entidades Gestoras y Servicios Comunes de la Seguridad Social.

• Ficheros de Mutuas de accidentes de trabajo y enfermedades profesionales.

• Ficheros que permitan hacer evaluación de la personalidad y comportamiento.


6868

• Nivel Alto:

• Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

• Ficheros con fines policiales.

• Ficheros con datos sobre actos de violencia de género.

• Nivel Alto atenuado (nivel básico + nivel medio + registro de accesos).

Nivel básico siempre que:

• Única finalidad -> transferencia dineraria a Entidades financieras

• Ficheros no automatizados que contengan dichos datos de forma accesoria (p.e. Expedientes de personal)

• Salud -> grado o declaración de discapacidad para cumplimiento deberes públicos (p.e. IRPF)

Revisión de los niveles de seguridad de los ficheros (II)


6969

Ficheros automatizados

• Verificación semestral de la correcta realización de copias de respaldo (nivel básico).

• Autorización para salida de soportes con datos personales adjuntos en correos electrónicos (nivel básico).

• Posibilidad de excepcionar la gestión de entrada y salida de soportes por causa motivada (nivel básico).

• Auditorías extraordinarias (nivel medio).

• Cifrado de dispositivos portátiles cuando estén fuera de las instalaciones (nivel alto).


7070

6. Reglamento de desarrollo de la LOPD - Comparativa

7171


7272


7373


7474

Ficheros no automatizados

Nivel Básico• Criterios de archivo• Dispositivos de almacenamiento• Custodia de soportes

Nivel Medio • Responsable de Seguridad• Auditorías

Nivel Alto• Almacenamiento de la información• Copia o reproducción• Accesos a documentación• Traslado de documentación

6.Reglamento de desarrollo de la LOPD – Fich. NO automatizados

7575

FICHEROS NO AUTOMATIZADOS

Estudio para su inventariado Revisar si se encuentran o no declarados ante la AEPD Implantar las medidas de seguridad aplicables


7676

MEDIDAS DE SEGURIDAD COMUNES A TODO TIPO DE FICHEROS

DOCUMENTO DE SEGURIDAD

SE APLICARÁN LAS MEDIDAS DE CARÁCTER BÁSICO DE LOS FICHEROS AUTOMATIZADOS, EN LO RELATIVO A:

- Funciones y Obligaciones del Personal- Registro de Incidencias- Control de acceso- Gestión de Soportes


7777

NIVEL BÁSICO

MEDIDAS DE SEGURIDAD COMUNES

CRITERIOS DE ARCHIVOCriterios de archivo previstos en su legislaciónSi no hay norma aplicable, se confeccionará un procedimiento de archivoGarantizar conservación, localización y consultaPosibilitar el ejercicio de los derechos ARCO

DISPOSITIVOS DE ALMACENAMIENTOMecanismos que obstaculicen su apertura o impidan el acceso a personas no autorizadas

CUSTODIA DE SOPORTESTramitación previa o posterior a su archivo, la persona al cargo debe impedir el acceso a persona no autorizada


7878

NIVEL MEDIO

RESPONSABLE DE SEGURIDADDesignación de uno o varios Responsables de Seguridad.¿Mismo Responsable de Seguridad para ficheros automatizados y ficheros no automatizados?

AUDITORÍAAuditoría, interna o externa, cada dos años.


7979

NIVEL ALTO

ALMACENAMIENTO DE LA INFORMACIÓNArmarios, archivadores en áreas de acceso protegido con puertas con sistema de apertura de llave o dispositivo equivalente

COPIA O REPRODUCCIÓNCopias bajo control de personal autorizadoDestrucción de las copias desechadas

ACCESO A LA DOCUMENTACIÓNPersonal autorizadoMecanismos de identificaciónRegistro de accesos

TRASLADO DE DOCUMENTACIÓNAdoptar medidas necesarias para impedir acceso o manipulación de la información


8080


8181

Informe 0672/2008 Necesidad de copia de respaldo en ficheros de videovigilancia.

Art 94.2: copias de respaldo semanales. Art 5.1.b): definición de cancelación. Art 5.2.e): soporte que permita recuperación.

Informe de la AEPD 0648/2008. Prevención de riesgos laborales. Art 18.1: acreditar cumplimiento de deber de información.

6. Reglamento de desarrollo de la LOPD – Aspectos prácticos

8282

Informe 0672/2008 Necesidad de copia de respaldo en ficheros de videovigilancia.

Art 94.2: copias de respaldo semanales. Art 5.1.b): definición de cancelación. Art 5.2.e): soporte que permita recuperación.

Informe 0648/2008. Prevención de riesgos laborales. Art 18.1: acreditar cumplimiento de deber de información.

Informe de la 006/2009. Videovigilancia en el trabajo. Informar debidamente al trabajador y que quede constancia de ello. Informar a los representantes de los trabajadores. Nunca utilizar estos datos para otros fines.


8383

Llamadas telefónicas con fines comerciales: Inspección Sectorial de Oficio sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios.

Derecho a no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello (art. 38 apartado 3 LGT y art. 69 RSU).

Llamadas no automáticas: podrán efectuarse salvo las dirigidas a aquellos que hayan manifestado su deseo de no recibir dichas llamadas. (apartado 2 del art. 69 RSU). Llamadas aleatorias.

No existe una prohibición legal expresa para la realización de llamadas comerciales a terminales móviles. (si está prohibido el “spam-sms”, art 21 LSSI si no existe solicitud, expresamente autorizadas o relación contractual previa).


8484


Símbolo “U” en las guías telefónicas.

Potestad sancionadora de la AEPD para estas infracciones (art 58 LGT)

Régimen sancionador de la LSSI para llamadas telefónicas automáticas sin intervención humana con fines de venta directa, cuando el interesado no hubiera prestado su consentimiento previo e informado para ello

LOPD sólo aplicable si la llamada comercial se efectúa a una línea telefónica IDENTIFICABLE para el promotor de la llamada

Sentencia de 17 de septiembre de la Audiencia Nacioanl: sólo un número de teléfono móvil no es un DCP.


8585


Mensajes comerciales y publicitarios a telefonía móvil.

Art 21 LSSI. Prácticas “hit and run”. Listas blancas. Derechos ARCO, Problemas para darse de baja. Mensajes PREMIUM.


8686


Recomendaciones a las compañías.

Verificar listas Robinson. Verificar guías (“U”). Facilitar ejercicio de derechos. No utilizar datos de ex clientes para llamadas con fines comerciales sin su consentimiento. Inclusión del texto “PUBLI” en publicidad vía SMS.


8787

Privacidad de datos personales y seguridad de la información en redes sociales (AEPD e INTECO).

8 millones de personas. 7 de cada 10 menores de 35 años. 43% de perfiles abiertos a todo el mundo (por defecto grado más alto de publicidad). Tres fases de riesgo: registrarse, al desarrollar su actividad en la red y al darse de baja del servicio. Indexación de perfiles: a la vista del mundo. Formularios muy amplios. Publicación de DCP de terceros sin consentimiento de estos (fotos).


8888

Relativa facilidad para suplantar perfiles (instrucciones fáciles de encontrar en Google: hackear facebook, hackear msn, hackear tuenti): suplantación de ID.


8989


SW maligno. Cookies (trazabilidad de habitos de navegación). Menores: Sistemas ineficaces para verificar edad de usuarios. Propiedad intelectual: cesión de derechos expresa en los avisos legales en el más amplio espectro posible.


9090


Recomendaciones:

Redacción de condiciones de uso y políticas de privacidad en lenguaje sencillo. Control de indexación de perfiles por parte de los buscadores. Cambio en la publicidad por defecto de los perfiles. Comprobación eficaz de la edad de los usuarios. Evitar suplantación. Sistemas que fomenten el uso de contraseñas seguras. No publicar demasiada información personal (datos que permitan la localización física).


9191

SENTENCIAS 2008 AUDIENCIA NACIONAL

Vulneración del deber de secreto mediante publicación de copia de un escrito en el tablón de Anuncios de un Ayuntamiento

DESESTIMA el recurso contencioso administrativo.Infracción de lo dispuesto en el artículo 10 de la LOPD, lo que supone una infracción tipificada como leve en el art. 44.2.e) de la citada Ley Orgánica.

Publicación de datos en intranet por un sindicato sin consentimiento del titular. Conflicto entre los derechos fundamentales a la protección de datos y la libertad sindical. Prevalencia de la libertad sindical.

ESTIMA el recurso contencioso administrativo.Prevalece la libertad sindical.


9292

Resoluciones AEPD:

PS/00126/2009, instruido por la Agencia Española de Protección de Datos a la entidad MERCADONA, S.A. : sin carteles de videovigilancia.

Infracción del artículo 5 en sus apartados 1, 2, 3 de la LOPD, tipificada como leve en el artículo 44.2 d) de dicha norma, una multa de 1.000 € (mil euros).

PS/00686/2008, instruido por la Agencia Española de Protección de Datos a la entidad ARSYS INTERNET, S.L. : acceso a datos.

infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 (seis mil euros) € de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.


9393

7. PROCESO DE ADECUACIÓN AL REGLAMENTO DE DESARROLLO DE LA

LOPD

7. PROCESO DE ADECUACIÓN AL REGLAMENTO DE DESARROLLO DE LA

LOPD

9494

Necesidad de un proceso de adecuación

7. Proceso de adecuación al Rgto desarrollo LOPD

I) CONOCIMIENTO DEL ENTORNO

II) IDENTIFICACIÓN DE NECESIDADES

IV) AUDITORÍA

III) PLAN DE ACCIÓN

9595


9696

1.Revisión de los ficheros automatizados ya inscritos:

• recalificación de nivel por el tipo de datos que contiene• verificar si existe también tratamiento no automatizado

(mixto)

2. Revisión del ciclo de obtención de datos en la entidad:

• métodos de obtención y almacenamiento de prueba de haber informado

• revisión de cláusulas: cada finalidad no contractual debe ser de aceptación independiente

• métodos de control de cesiones realizadas


9797

3. Revisión del tratamiento y ejercicio derechos A.R.C.O. en la entidad:

• Fines de publicidad: cambio de metodología, obligación de filtrar por lista Robinson.

• Actualización de Contratos de Encargo de Tratamiento con los prestadores de servicios: nuevas medidas, plazos de conservación, responsabilidades ante derechos A.R.C.O., subcontrataciones, etc.

• Revisión de transferencias internacionales y actualización conforme a requisitos nuevo reglamento.

• Adecuación de los procedimientos A.R.C.O. vigentes y labor de concienciación a empleados

• Establecimiento de sistema de cancelación (bloqueo antes de supresión). Solución para sistemas que no lo permiten.


9898

4. Identificación ficheros y tratamientos no automatizados: • Localización de ficheros y tratamientos no automatizados por áreas.• Designación de responsables internos que custodian dicha información.• Inscripción ante la AEPD de los ficheros no automatizados.

5. Medidas de Seguridad• Implantación y/o mejora de medidas de seguridad en ficheros

automatizados• Implantación de las medidas de seguridad en ficheros no automatizados

por prioridades y niveles (plazos diferentes)• Elaboración de Documento/s de Seguridad que incluya las medidas de

seguridad de ficheros automatizados y no automatizados• Inclusión en el Comité de Seguridad LOPD a personas con

responsabilidades en la seguridad de los ficheros no automatizados (responsables de archivo, responsables internos de ficheros, seguridad física, etc.)


9999

8. FICHEROS. CREACIÓN, PROPIEDAD E INVENTARIO

8. FICHEROS. CREACIÓN, PROPIEDAD E INVENTARIO

100100

• Fichero físico vs. fichero lógico.

• La agrupación de ficheros y el criterio AEPD. Tratamientos vs. aplicaciones.

8. Ficheros. Creación, propiedad e inventario

CONSIDERACIONES PREVIAS

101101

• Creación de ficheros.

Solicitud por escrito y autorizaciones. Plantillas de creación de ficheros. Problemática: los ficheros temporales.

• Propiedad.

¿Cómo estructurar la propiedad de los ficheros?. Aplicaciones, Departamentos, Empresas. Propiedad funcional vs. responsabilidad.

• Inventario de ficheros.

Gestión del alta, modificación y cancelación.

8. Ficheros. Creación, propiedad e inventario

102102

9. CÓMO AFECTA LA LOPD EN UNA EMPRESA

9. CÓMO AFECTA LA LOPD EN UNA EMPRESA

103103

Selección

Financiero y contabilidad

Sistemas

RRHH

Compras y proveedores

Prevención de Riesgos

Marketing

9. Cómo afecta la LOPD en una empresa

DPTOS.AFECTADOS

Centro de att. al cliente

Seguridad

104104

Gestión de plazos de respuesta derechos A.R.C.O.

Gestión documental LOPD

Constantes actualizaciones Documento Seguridad

Gestión ficheros físicos/lógicos

Concienciación departamental

Cumplimiento de procedimientos Grupos de empresas

Asunción de roles


105105

Grupos de empresas (nacionales / multinacionales).

Prestación de servicios centralizados. La cesión de datos intragrupo. Las transferencias internacionales. Estrategias comunes de cumplimiento: sinergias + eficiencias = ahorro de costes

• Fundaciones, Sociedades Profesionales

Naturaleza y actividad de la entidad. Adaptación al modelo fundacional o de prestación de servicios.

• Cambios societarios.

Traslación de los datos: consentimiento no, información sí Otras (muchas cuestiones a tener en cuenta): due dilligence, transferencia de sistemas de información, subrogación en encargos, etc.


106106

Los servicios generales y la coordinación interdepartamental:

• ¿Qué son los servicios generales? En cada casa…

• ¿Existen los servicios generales a efectos LOPD? SI, con diferentes configuraciones, pero con ciertas notas comunes:

• Conocimiento transversal de la Compañía• Capacidad de establecer requisitos sobre procesos horizontales y verticales• Apoyo de la Dirección en su labor LOPD

• ¿Y si la coordinación queremos que sea interdepartamental? • Lo más habitual es la fórmula de colaboración interpares con uno de ellos (rotatorio o fijo) como coordinador


107107

Las Binding Corporate Rules (BCR´s):

• Grupo de trabajo del artículo 29 de la Directiva 95/46/CE.

• Alternativa para la transferencia internacional de datos deresidentes comunitarios a terceros países que no garantizan un nivel de protección adecuado.

• Flexibilizar y Simplificar.

• Multinacional con férreo control sobre empresas del grupo + Política de protección de datos en vigor y adecuada = posibilidad de

Transferencia internacional entre empresas del mismo grupo.


108108

Las Binding Corporate Rules (BCR´s):

• Cláusula del tercero beneficiario: compromisos de la empresa y medidas en caso de incumplimiento.

• Vinculación “hacia dentro”. Compromiso público = cumplimiento.

• Problema: invocar ante tribunales de los distintos países miembro: Ejemplo: Alemania vs. España.

• Problema:¿Cuándo se entiende que una empresa se ha comprometido fehacientemente?

• Soluciones parciales: existiría una verdadera política de privacidad + primer contrato como fuente de las obligaciones al que se anexaría el código de conducta.

• Autocontrol, gestión responsable y confianza del regulador: reenvío al documento de trabajo número 12.


109109

Coordinación de auditorias para reducción de costes:

• Vinculación entre auditorias LOPD y otras auditorías

• 27001-27002• Calidad• Cumplimiento normativo• etc.

• Fórmulas de colaboración + creación de sinergias = ahorro de costes

• Matrices de requisitos comunes.• Controles que cubran distintos requisitos• Auditoría de controles


110110

1O. LAS MEDIDAS DE SEGURIDAD1O. LAS MEDIDAS DE SEGURIDAD

111111


• RD 994/1999 de 11 Junio: Reglamento de Medidas de Seguridad

Desarrollo de la antigua Ley Orgánica 5/1992, de 29 de octubre (LORTAD).

Sólo para ficheros automatizados.

Determina los fines de seguridad a conseguir, no los medios ni la tecnología a utilizar (p.e. cifrado).

Se “olvida” de los ficheros no automatizados.

10. Las medidas de seguridad

EN VIGOR HASTA EL 18 DE ABRIL DE 2008

112112

FICHERO AUTOMATIZADO FICHERO NO AUTOMATIZADO

TODOS LOS NIVELESDocumento de SeguridadDelegación de autorizacionesAcceso a través de redes de comunicacionesTrabajo fuera de los locales de la EntidadFicheros temporalesNIVEL BÁSICOFunciones y obligaciones del personalRegistro de incidenciasControl de accesoIdentificación y autenticaciónGestión de soportesCopias de respaldo y recuperación

NIVEL MEDIO •Responsable de Seguridad•Auditorías•ReforzadasNIVEL ALTO•Reforzadas•Registro de accesos•Telecomunicaciones

TODOS LOS NIVELESDocumento de SeguridadDelegación de autorizacionesAcceso a través de redes de comunicacionesTrabajo fuera de los locales de la EntidadFicheros temporalesNIVEL BÁSICO Comunes con automatizados (funciones y obligaciones, incidencias, control de acceso y gestión de soportes)Criterios de archivoDispositivos de almacenamientoCustodia de soportesNIVEL MEDIO Responsable de SeguridadAuditoríasNIVEL ALTOAlmacenamiento de la informaciónCopia o reproducciónAccesos a documentaciónTraslado de documentación


113113

¿Cuál es el papel que debe CUMPLIR EL PERSONAL DE LA ENTIDAD?

•Conocimiento de las responsabilidades recogidas en la normativa interna respecto a los activos de información.•Asunción de funciones y obligaciones•Cumplimiento de medidas de seguridad que se le transmitan.•Nivel de cumplimiento adecuado: necesario para no poner en peligro el nivel de cumplimiento del conjunto de la Entidad.

¿Cuál es el papel que debe HACER CUMPLIR EL PERSONAL DE LA ENTIDAD?

•Asunción de la “cultura LOPD” de ALCAMPO por todo su personal.•Homogeneización de las medidas y el nivel de cumplimiento.•Control de cumplimiento que impacte en datos personales.•Proactividad en la detección de incidencias con implicación LOPD.


114114

Identificativos Personales Empleo

PerfilesFinancierosInfraccionesSolvencia PatrimonialAdmones. TributariasSeguridad Social

Afiliación SindicalSaludVida sexualCreenciasOrigen racial

BÁSICO

MEDIO

ALTO


115115

Excepciones a las medidas de seguridad aplicables a datos de nivel alto

Posibilidad de aplicar medidas de nivel básico a ficheros que contengan:

•Datos que se utilicen con la única finalidad de transferencia dineraria a las entidades de las que los afectados son asociados o miembros. (P.e. pago cuota afiliación sindical)

•Datos que se refieran exclusivamente al grado de discapacidad o a la condición de discapacidad o invalidez con motivo del cumplimiento de deberes públicos. ( P.e. Nóminas)


116116

El Documento de Seguridad

• Objeto e importancia.- Recoge las medidas de índole técnica y organizativas acordes - con la normativa de seguridad vigente y será de obligado - cumplimiento para el personal con acceso a los sistemas de información.

•Contenido Mínimo.- Ámbito de aplicación.- Medidas, normas y procedimientos.- Funciones y Obligaciones del Personal.- Estructura de los ficheros con datos de carácter personal.- Procedimiento de notificación y gestión ante las incidencias.- Procedimiento de copias de respaldo y recuperación.- Medidas para el transporte y destrucción de soportes y

documentos.

•Actualización.- Debe ser actualizado y revisado siempre que se produzcan cambios en los sistemas de información, tratamiento, ficheros u organización.- Debe adecuarse en todo momento a la normativa vigente.

•Difusión.Entre todos los usuarios de la Organización


117117

Medidas comunes a todos los niveles

•Acceso a datos a través de redes de comunicación:- Redes de comunicación públicas o

no públicas- Nivel de seguridad equivalente a

accesos en local

• Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento:

- Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de la Compañía.

- Nivel de seguridad en función del tipo de fichero tratado.

•Ficheros temporales o copias de trabajo de documentos:- Ficheros creados exclusivamente para la realización de trabajos

temporales auxiliares. - Deberán ser borrados o destruidos una vez que hayan dejado de ser necesarios para los fines que motivaron su creación.


118118

Medidas de Seguridad. Ficheros Automatizados

• Medidas de NIVEL BÁSICO Registro de Incidencias Funciones y obligaciones del personal Identificación y autenticación de usuarios Control de Acceso Gestión de Soportes Copias de Respaldo y Recuperación (periodicidad)

• Medidas de NIVEL MEDIO Responsable de Seguridad Auditorías Gestión de soportes y documentos Identificación y autenticación de usuarios Control de Acceso Físico Registro de Incidencias

• Medidas de NIVEL ALTO Gestión y Distribución Soportes (cifrado) Copias de Respaldo y Recuperación (ubicación) Registro de Accesos Telecomunicaciones (cifrado)


119119


Medidas de Seguridad – NIVEL BÁSICO - Procedimiento de notificación, gestión y registro de incidencias Tipo de Incidencia Fecha y hora Persona que la notifica Persona que recibe la notificación Efectos de la incidencia y modo de resolución - Control de acceso lógico a los sistemas: Accesos restringidos por capacidades funcionales Sistemas de identificación y autenticación (cambio de contraseña 1 vez por año al menos) - Gestión de soportes que contengan datos de carácter personal: Inventario de soportes Acceso restringido a los mismos Procedimiento de autorización para la salida de soportes y el envío de adjuntos a correos electrónicos. - Copias de respaldo y recuperación de datos. Realización de back-up con periodicidad semanal Procedimiento de recuperación de datos y prueba de recuperación mínimo cada 6 meses


120120


Medidas de Seguridad - NIVEL MEDIO

- Designación de un Responsable de Seguridad: Único para todos los ficheros o diferenciado.

-Auditoría (cada 2 años): También cuando se produzca un cambio sustancial en los sistemas. Informe de Auditoría. Conclusiones al Responsable del Fichero.

- Limitación de la posibilidad de intentar de forma reiterada el acceso no autorizado al sistema informático.

- Gestión de soportes: Registro de la entrada y salida. Sistema que impida la recuperación de datos (soportes reutilizados o desechados).

- Registro de incidencias debe incluir los procedimientos de recuperación de datos.

- Control de acceso físico- Personal autorizado en el documento de seguridad.


121121


Medidas de Seguridad - NIVEL ALTO

-Gestión de soportes: Etiquetado de soportes comprensibles únicamente para los usuarios. Distribución de soportes cifrando los datos. Cifrado de dispositivos portátiles fuera de las instalaciones.

-Registro de los accesos a los sistemas: Usuario que accede, fecha y hora, fichero accedido y si el acceso ha sido autorizado o denegado. Conservación de los datos registrados durante dos años. Informe de revisión mensual.

- Copias de respaldo y recuperación de datos: Conservación en lugar diferente. Adopción de las medidas de seguridad al local de conservación de las copias.

- Transmisión de datos por redes de telecomunicaciones cifrando los datos


122122

Medidas de Seguridad. Ficheros NO Automatizados

• Medidas de NIVEL BÁSICO Criterios de archivo Dispositivos de almacenamiento Custodia de soporte • Medidas de NIVEL MEDIO Responsable de Seguridad Auditorías

• Medidas de NIVEL ALTO Almacenamiento de la información Copias o reproducción Accesos a documentación Traslados de documentación


123123

Medidas de Seguridad. Ficheros NO Automatizados

Medidas de Seguridad – NIVEL BÁSICO - Medidas de Seguridad comunes - Criterios de Archivo. Criterios de archivo previstos en su legislación. Si no hay norma aplicable, se confeccionará un procedimiento de archivo. Garantizar conservación, localización y consulta. Posibilitar el ejercicio de los derechos ARCO. - Dispositivos de almacenamiento. Mecanismos que obstaculicen su apertura o impidan el acceso a personas no autorizadas.

- Custodia de soportes. Tramitación previa o posterior a su archivo, la persona al cargo debe impedir el acceso a persona no autorizada.


124124

Medidas de Seguridad. Ficheros No Automatizados

Medidas de Seguridad - NIVEL MEDIO

-Responsable de Seguridad:

Designación de uno o varios Responsables de Seguridad. ¿Mismo Responsable de Seguridad para ficheros automatizados y ficheros no automatizados? -Auditoría (cada 2 años):

Informe de Auditoría interna o externa cada dos años.


125125

Medidas de Seguridad. Ficheros No Automatizados

Medidas de Seguridad - NIVEL ALTO

-Almacenamiento de la información: Armarios, archivadores en áreas de acceso protegido con puertas con sistema de apertura de llave o dispositivo equivalente.

-Copia o reproducción: Copias bajo control de personal autorizado Destrucción de las copias desechadas

- Acceso a la documentación: Personal autorizado Mecanismos de identificación Registro de accesos

-Traslado de la documentación: Adoptar medidas necesarias para impedir acceso o manipulación de la información.


126126

Responsable de Fichero.

EL RESPONSABLE DEL FICHERO (art. 95 RLOPD)

Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

La Entidad

¿Puede haber Responsable “internos” del fichero”? SI, como figura


127127

Responsable de Seguridad

EL RESPONSABLE DEL SEGURIDAD (art. 95 RLOPD)

En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.

Quien/es designe la Entidad


128128

Responsable de Seguridad. Funciones

• Coordinar y controlar la adopción y cumplimiento de las medidas de seguridad aplicables.

• Funciones:

• Cumplimiento de las medidas de seguridad • Perfiles de acceso y cuentas de usuario• Seguridad Lógica• Documento de Seguridad• Normas y Procedimientos de Seguridad• Gestión de Soportes• Control de Incidencias• Inspecciones de Autoridades de Control• Colaboración en auditorías y proyectos de adecuación• Otras


129129

• Conocimiento profundo de la empresa.• Fluida relación y contacto con los empleados.• Dedicación, total o parcial, de su jornada laboral a temas de protección de datos (depende del tamaño de la empresa).• Conocimientos técnicos/informáticos.• Conocimientos jurídicos en protección de datos.• Capacidad organizativa y de dirección.

Responsable de Seguridad. Características


130130

Responsable de Seguridad. Designación. Delegación de funciones

• Debe ser designado formalmente (art. 95 RLOPD). El documento de designación. Requisitos. • Tipos:

Formal vs. Funcional. Principal vs. Delegados. Otros (ficheros, aplicaciones, departamentos, empresas, etc.).

• Responsables delegados. La delegación de funciones. El documento de delegación. Requisitos.

• ¿1 o varios Responsables de Seguridad?.


131131

El Comité de Seguridad. Definición

• Órgano interno de la Entidad.

• Agrupa a las principales figuras implicadas en el cumplimiento de la

normativa de protección de datos personales.

• Coordinar, impulsar y proponer medidas y acciones a realizar en

materia de protección de datos personales.


132132

El Comité de Seguridad. Objetivos (I)

1) Seguimiento de las acciones necesarias a realizar para garantizar un cumplimiento

continuo de la normativa de protección de datos (unificación de criterios, aprobación

de documentos, etc.).

2) Detectar nuevas necesidades en la Entidad en materia de protección de datos, debido

a novedades legislativas, acciones de especial riesgo (Servicio de Atención Telefónica,

acciones de Marketing, cambios societarios, nuevas aplicaciones, cambios relevantes

en sistemas de información), etc.


133133

El Comité de Seguridad. Objetivos (II)

3) Aportar experiencia de la actividad de la Entidad con repercusión en materia de

protección de datos.

4) Identificar y coordinar posibles deficiencias/problemas en materia de protección de

datos personales (p.e. a partir de Proyectos de Adecuación o Auditoría), así como

decidir los aspectos a implantar para solucionar dichas deficiencias/problemas.

5) Reaccionar y coordinar la solución urgente ante imprevistos en materia de protección de

datos (p.e. inspecciones de la AEPD).

6) Impulsar y coordinar proyectos, puntuales o periódicos, relacionados con el

cumplimiento de la normativa de protección de datos.

7) Velar por el mantenimiento de una buena imagen ante la AEPD.


134134

El Comité de Seguridad. Tipos

• Comité Estratégico LOPD

• Miembros posibles: Departamento de Sistemas de Información, Departamento de Asesoría Jurídica, Departamento de Calidad y Departamento de Auditoría.• Asistentes: Responsables del Departamento.• Requiere: Delegación operativa clara y coordinada.

• Comité Operativo LOPD (adicional al estratégico o único)

• Miembros posibles: • Permanentes. • Variable.

• Requiere: capacidad para lanzar tareas y obligaciones a áreas o personas concretas.

• Comité Mixto (suma de ambos)


135135

El Comité de Seguridad. ¿Quién (I)?

• Personas que, por razón de sus funciones, deban conocer la materia:

• Responsable de Seguridad.• Departamento Jurídico.• Departamento de Informática.

• Personas que necesiten, por razón de sus funciones, conocer la normativa:

• Departamento de Marketing.• Departamento de RR.HH.• Servicio de Atención al Cliente.• Departamento de Calidad.• Otros Departamentos de negocio que, de manera habitual, traten datos personales.

• Personas que, excepcionalmente, deban asistir a las reuniones por asuntos concretos.


136136

El Comité de Seguridad. ¿Quién (II)?

En todo caso,

• Liderazgo• Puede ser permanente o rotatorio (entre los participantes permanentes).• Puede crearse una figura “ad hoc” (normalmente con dedicación parcial), o puede externalizarse• No supone capacidad de “voto decisivo”: es un moderador “inter pares”

• En función de la composición y funciones:• Deberá disponer de un recurso (normalmente a tiempo parcial) que se encargue de la organización y la logística de las convocatorias. • Deberá integrar (de modo permanente o puntual) otros roles LOPD que se establezcan en la Entidad.


137137

El Comité de Seguridad. Poderes

Debe tener capacidad ejecutiva, en todo caso, traducida en:

• Responsabilidad directa sobre las tareas y acciones que se decidan• O, capacidad de establecer los responsables directos

Por otro lado, el Comité podrá ser PROACTIVO y/o REACTIVO• PROACTIVO

• Detección y resolución de nuevas necesidades• Auditorías y Control periódico• Formación y concienciación• Reporte de estado de cumplimiento a Dirección

• REACTIVO• Nuevas necesidades que le sean comunicadas• Consultas y peticiones de cualesquiera Áreas o Departamentos

• MIXTO: sin que ello suponga un obstáculo para mantener un nivel de proactividad elevado y permanente


138138

El Comité de Seguridad. Temas a tratar

Como mínimo, en cada reunión del Comité Operativo LOPD se deben tratar los siguientespuntos:

A) Repasar las acciones a realizar establecidas en el acta de la reunión del Comité Operativo LOPD anterior (excepto en la primera convocatoria).

B) Conocer el motivo de la falta de cumplimiento de las acciones no realizadas o las desviaciones sobre los resultados pretendidos.

C) Identificar nuevas necesidades relacionadas con el mantenimiento del cumplimiento de la normativa.

D) Detectar posibles problemas relacionados con la normativa de protección de datos (p.e. muchas solicitudes de ejercicio derecho rectificación - > datos no actualizados).

E) Definir acciones futuras a realizar asignando un responsable a cada una de ellas y determinar el plazo para realizarlas.

F) Levantar acta de la reunión.


139139

El Comité de Seguridad. ¿Cuándo?

• Comité Ordinario

• Recomendación: Al menos cada dos meses.• Partirá de un Orden del Día mixto: i) cuestiones permanentes (acta último Comité, revisión de actividades entre Comités, revisión de indicadores de estado de cumplimiento, etc.); ii) cuestiones puntuales (actuaciones AEPD, nuevos Proyectos, nuevas aplicaciones, etc.).

• Comité Extraordinario

• Carácter urgente.• Posibilidad de reuniones extraordinarias ante cualquier aspecto relevante o urgente que afecten a la materia relativa de protección de datos (p.e. inspección de la AEPD; cambios legislativos; desarrollo de nuevos productos y/o servicios; sinergias con otros proyectos; etc.).


140140

• Comité Estratégico o Alta Dirección (Actas de cada Comité).

• Comunicación de tareas y acciones (decididas y ejecutadas).

• Acciones periódicas formativas/de comunicación con relación a existencia, funciones y modos de comunicación con el Comité Operativo LOPD.

• Áreas o Departamentos afectados por las tareas, proyectos, iniciativas, etc. del Comité.

El Comité de Seguridad. Reporte


141141

11. LA AUDITORÍA LOPD11. LA AUDITORÍA LOPD

142142

0 FASE.- Planificación.

1ª FASE.- Revisión inicial de documentación, procedimientos, normativas y ficheros.

2ª FASE.- Revisión del ciclo de vida de los datos, Documento de Seguridad y de las medidas de seguridad implantadas en los sistemas de información y revisión de los procedimientos vigentes.

Opcional: Revisión del cumplimiento de aspectos jurídicos.

3ª FASE.- Entrega de Informes :

Informe Preliminar de Auditoría.

Otros documentos (Plan de Actuación de Medidas Correctoras, Informe de Revisión Cumplimientos Jurídicos, etc.).

4ª FASE.- Implantación de Medidas Correctoras. Concienciación y Formación.

5ª FASE.- Informe Final de Auditoría y presentación de resultados. Elevación de los mismos a la Dirección de la Entidad.

11. La Auditoría LOPD

143143

Planificación

• Planificación del orden cronológico de desarrollo de los trabajos en los centros, atendiendo al volumen de cada uno, ubicación territorial, importancia, necesidades etc.

• Definición del equipo colaborador de la empresa auditada.

• Convocatoria inicial vía mail con todo el personal colaborador para explicar el ámbito y objetivos del Proyecto.

• Creación de un Comité de Seguimiento para impulsar y evaluar el cumplimiento del Proyecto conforme a lo previsto.

• Delimitación de criterios homogéneos en cuanto a metodología de trabajo para todas las entidades.

• ¿Interna o externa?

• Equipo de Trabajo. ¿1 o 2 auditores?. Cualificación de los auditores.


144144

Revisión de documentación

Organigrama departamental de la empresa.

Inscripciones actuales de ficheros ante la AEPD.

Último Informe de Auditoría realizado en la entidad.

Estructura de red, diagrama de servidores y ficheros, etc.

Últimos Documentos de Seguridad vigentes.

Procedimientos y Políticas de seguridad existentes.

Mecanismos de comunicación a usuarios de sus funciones y obligaciones con relación al tratamiento de datos personales.

Modelos de cláusulas y Contratos utilizados para regular la recogida de datos personales y/o los flujos de información entre empresas del Grupo y hacia otras Entidades.

Canales de recogida / transmisión de datos personales de clientes, proveedores, empleados, candidatos, etc.

Etc.


145145

Revisión de Medidas de Seguridad

Sistemas de información y de la seguridad implantada a cada fichero.

Vigencia y efectiva implantación de los Documentos de Seguridad existentes.

Políticas, procedimientos, normas, reglas y estándares implantados.

Procedimiento para la realización de copias de respaldo y recuperación de datos.

Mecanismos de almacenamiento y auditoría de log’s


146146

Realización de pruebas con datos reales

Control de los perfiles de usuario, seguridad de accesos a los ficheros con datos personales. Revisión de la política de asignación, distribución y almacenamiento de las password’s y usernames. Comprobación del procedimiento de Registro de entrada y salida de soportes y del manual de normas a llevar a cabo cuando el soporte se traslada fuera de las dependencias de la empresa auditada. Análisis de los Sistemas de Encriptación para la transmisión de datos por redes de telecomunicaciones. Revisión de los procedimientos de notificación y gestión de incidencias. Revisión de los procedimientos de control de accesos a los datos y recursos. Revisión de los controles de acceso físico a los locales con sistemas de información (CPD’s). Cumplimiento de verificaciones e Informes Etc.


147147

La revisión especificada anteriormente se desarrollará:

- De forma presencial en las sedes de la empresa auditada. Se preparará previamente un calendario de reuniones, así como las agendas de los temas a tratar en cada una de ellas.

- Solicitando información, documentación o accesos a aplicaciones informáticas, al objeto de verificar los aspectos auditables.

- Verificando el cumplimiento final de las previsiones del RMS.

- Contrastando las medidas de seguridad y procedimientos existentes con lo dispuesto en el Documento de Seguridad de la empresa auditada.

- Verificando las medidas de puesta en conocimiento de los usuarios de los sistemas de información de sus funciones y obligaciones con relación al tratamiento de datos personales.


148148

El Informe de Auditoría

Grado de adecuación de las medidas y controles.

Identificación de deficiencias y no conformidades.

Proposición de recomendaciones y medidas correctoras.

Importante: las evidencias (datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas).

Análisis por el Responsable de Seguridad competente y elevación de conclusiones al Responsable del Fichero.

Informe a disposición de la AEPD.


149149

Implantación de medidas correctoras

• Actualizando las inscripciones de creación, modificación o supresión de ficheros ante la AEPD.

• Actualizando el Documento de Seguridad conforme a la realidad de los procedimientos de la empresa auditada y los requisitos que establece el Reglamento de Medidas de Seguridad.

• Definiendo cómo parametrizar e implantar medidas técnicas en los sistemas de información.

• Desarrollo de labores de formación y concienciación.


150150

12. LOS DERECHOS A.R.C.O.12. LOS DERECHOS A.R.C.O.

151151

ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN

• Celeridad: plazos legales muy breves

• Requisitos obligatorios de la Solicitud:

o Nombre y apellidos del interesadoo Fotocopia del DNI del interesadoo Petición en que se concreta la solicitudo Domicilio a efectos de notificacioneso Fecha y firma del solicitanteo Documentos acreditativos de la solicitud

• Plazos:

• Acceso: 30 días (solicitud estimada: 10 días para hacerla efectiva)• Rectificación/Cancelación/Oposición: 10 días

12. Los derechos A.R.C.O.

152152

El derecho de acceso: posibilidad que tiene el titular de los datos de solicitar información respecto de qué concretos datos personales relativos a él existen en los ficheros de los que la empresa es responsable, el tratamiento y su origen.

El derecho de rectificación: posibilidad que tiene el titular de los datos de solicitar a la empresa la corrección de aquellos datos que fuesen incorrectos o que hubiesen quedado desactualizados.

El derecho de cancelación: posibilidad que tiene el titular de los datos de solicitar a la empresa la eliminación de sus datos.

El derecho de oposición: posibilidad que tiene el titular de los datos de solicitar que finalice el tratamiento de sus datos personales, en los casos en los que no haya sido necesario el consentimiento del titular de los datos para el tratamiento de los mismos y siempre que una Ley no disponga lo contrario.


153153

Ejercicio de los derechos debe ser gratuito (ejercitados dichos derechos conjuntamente o por separado).

El ejercicio de los derechos debe hacerse personalmente por el titular de los datos o por el representante legal (incapacidad o minoría de edad), en cuyo caso podrán ser ejercitados por el representante legal, quien deberá acreditar dicha condición (mediante el documento acreditativo de dicha representación).

Remitir a la empresa una solicitud por escrito:

- Nombre, apellidos del interesado y fotocopia del DNI del interesado y, en los casos en que excepcionalmente se admita, de la persona que lo represente, así como el documento acreditativo de la representación.- En caso de no aportarse copia del DNI y/o documento identificativo de la representación, cuando sea aplicable, la empresa deberá solicitar la subsanación de dicho defecto de forma.- Petición en que se concreta la solicitud.- Domicilio a efectos de notificaciones, fecha y firma del solicitante.- Documento/s acreditativo/s de la petición que formula, en su caso.


154154

El interesado deberá hacer uso de cualquier medio que permita acreditar el envío y la recepción de la solicitud (p.e. correo certificado con acuse de recibo).

El Responsable del Fichero deberá contestar las solicitudes de ejercicio de derechos A.R.C.O. que se le dirijan, dentro de los plazos legales:

- acceso, 1 mes; - rectificación, cancelación y oposición, 10 días, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo hacer uso de cualquier medio que permita acreditar el envío y la recepción.


155155

Derecho de acceso:

Sistemas de consulta:

- Escrito, copia o fotocopia remitida por correo.

- Visualización en pantalla.

- Telecopia.

- Correo electrónico u otros sistemas de comunicaciones electrónicas.

- Cualquier otro procedimiento que sea adecuado a la configuración e implantación material del

fichero, ofrecido por el responsable del mismo. Si se estima la solicitud, en un plazo máximo de 1 mes, se deberá dar respuesta al titular de los datos en el

sentido de estimar la misma. Dentro de los 10 días siguientes, se deberá hacer efectivo el ejercicio del derecho.

Si se desestima la solicitud, la empresa deberá remitir un escrito desestimando la solicitud y motivando la desestimación. También puede dejar transcurrir el plazo de 1 mes, sin necesidad de contestar expresamente.

Este derecho podrá ejercitarse una vez cada doce meses. Excepciones. La información que se proporcione deberá facilitarse en forma legible y entendible y comprenderá todos los

datos del afectado.


156156

Derechos de rectificación y cancelación:

Desde la empresa deberá hacerse efectivo el ejercicio de estos derechos en un plazo máximo de 10 días, a contar desde que se recibe la solicitud.

Si los datos rectificados o cancelados hubiesen sido cedidos previamente, desde la empresa se notificará al cesionario, en el mismo plazo de 10 días, la rectificación o cancelación efectuada, para que dicho cesionario también la lleve a cabo en su fichero.

La solicitud de rectificación deberá indicar el dato erróneo y la corrección que deba realizarse, a cuyo efecto se acompañará la documentación justificativa, salvo que dicha corrección dependa exclusivamente del consentimiento del interesado.

La cancelación de los datos no tendrá lugar cuando pudiese causar un perjuicio a intereses legítimos del titular de los datos, de terceros o cuando exista una obligación de conservar los datos.

Si desde la empresa se considera que no procede atender la solicitud de rectificación o cancelación, deberá comunicarlo motivadamente al titular de los datos dentro del plazo de 10 días antes indicado.


157157

Derecho de oposición

El interesado deberá acreditar los motivos legítimos en los que funde su solicitud.

Desde la empresa, en un plazo máximo de 10 días a contar desde que se recibe la solicitud, deberá darse respuesta al titular de los datos en el sentido de estimar o desestimar la misma, según proceda.

La empresa podrá denegar la solicitud de ejercicio del derecho de oposición cuando una Ley autorice expresamente el tratamiento de los datos personales o cuando el interesado no acredite motivos fundados y legítimos.

En caso de estimarse la solicitud, se procederá a la cancelación de los datos del interesado.


158158


159159

13. AUTORIDADES DE CONTROL13. AUTORIDADES DE CONTROL

160160

La Agencia Española de Protección de Datos (arts. 35 y ss.)

- Entidades privadas u Organismos Públicos por no existencia de Agencia Autonómica.

- Velar por el cumplimiento de la normativa en materia de protección de datos

- Proporcionar información: FUNCIÓN CONSULTIVA

- Emisión de Autorizaciones: Ej: movimiento internacional datos a país sin nivel adecuado de protección

- Potestad de inspección- De oficio- A instancia de parte (denuncia)

- Potestad sancionadora

13. Autoridades de Control

161161

Agencias de Protección de Datos Autonómicas

• Organismos Públicos con ámbito de actuación dentro de la CC.AA.• Mismas funciones que la AEPD pero en ámbito autonómico.• Administraciones Públicas.


162162


AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID

• Ficheros de datos de carácter personal creados o gestionados por las Instituciones de la Comunidad de Madrid y por los Órganos, Organismos, Entidades de Derecho público y demás Entes públicos integrantes de su Administración Pública. • Ficheros de datos de carácter personal creados o gestionados por los Entes que integran la Administración Local del ámbito territorial de la Comunidad de Madrid, de conformidad con lo previsto en el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, así como sobre los ficheros creados o gestionados por las Universidades públicas y por las Corporaciones de derecho público representativas de intereses económico y profesionales de la Comunidad de Madrid. • Ficheros regulados por la Ley estatal 12/1989, de 9 de mayo, de la Función Estadística Pública, creados o gestionados por las entidades y empresas de la Comunidad de Madrid y Entidades Locales referidos en el apartado anterior, para fines no estatales, estarán sometidos al control de la Agencia de Protección de Datos de la Comunidad de Madrid.


163163


AGENCIA VASCA DE PROTECCIÓN DE DATOS

• La Administración General de la Comunidad Autónoma, los Órganos Forales de los territorios históricos y las Administraciones Locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como los Entes Públicos de cualquier tipo, dependientes o vinculados a las respectivas Administraciones Públicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho público.• El Parlamento Vasco.• El Tribunal Vasco de Cuentas Públicas.• El Ararteko.• El Consejo de Relaciones Laborales.• El Consejo Económico y Social.• El Consejo Superior de Cooperativas.• La Agencia Vasca de Protección de Datos.• La Comisión Arbitral.• Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco.• Cualesquiera otros Organismos o Instituciones, con o sin personalidad jurídica, creados por ley del Parlamento Vasco, salvo que ésta disponga lo contrario.


164164


AGENCIA CATALANA DE PROTECCIÓN DE DATOS

• Ejerce su autoridad de control sobre los tratamientos de datos personales llevados a cabo por la Generalidad de Cataluña, por los Entes que integran la Administración Local y por las Universidades en el ámbito territorial de Cataluña, por los Organismos y las Entidades Autónomas que dependen de la Administración de la Generalidad o de los Entes Locales y por los Consorcios de los cuales forman parte.

• Ejerce sus competencias con relación a los ficheros creados por las Administraciones, los Organismos y las Entidades a que se refiere el apartado 1 cuando sean gestionados por Entidades Públicas o privadas en la prestación de servicios públicos, sean o no concesionarias de éstos, o por asociaciones o fundaciones, o por las sociedades civiles o mercantiles en las cuales la Generalidad o los Entes Locales tengan la participación mayoritaria del capital, cuando llevan a cabo actividades por cuenta de una Administración.


165165

• Funciones y competencias AEPD.

Competencias inspectoras.

Competencias instructoras y sancionadoras.

• La Inspección de Datos es el órgano de la AEPD al cual competen el desarrollo de las funciones inherentes al ejercicio de las potestades de inspección y sanción.


166166

• Funciones inspectoras.

Integran las actuaciones de examen, análisis y prueba de sistemas, ficheros, documentos, dispositivos y, en general, de todos aquellos elementos relacionados con los posibles tratamientos automatizados de datos personales objeto de investigación.

Entre otras:

Efectuar inspecciones, periódicas o circunstanciales, de oficio o a instancia de los afectados, de cualesquiera ficheros, de titularidad pública o privada, en los locales en los que se hallen los ficheros y los equipos informáticos correspondientes. Examinar los soportes de información que contengan los datos personales. Examinar los equipos físicos. Requerir el pase de programas y examinar la documentación pertinente al objeto de determinar, en caso necesario, los algoritmos de los procesos de que los datos sean objeto. Examinar los sistemas de transmisión y acceso a los datos. Realizar auditorías de los sistemas informáticos con miras a determinar su conformidad con las disposiciones de la LOPD y el RMS. Requerir la exhibición de cualesquiera otros documentos pertinentes. Requerir el envío de toda información precisa para el ejercicio de las funciones inspectoras.


167167

• Funciones instructoras y sancionadoras.

Están relacionadas con el ejercicio de la potestad sancionadora, incluyen la tramitación de los expedientes administrativos iniciados como consecuencia de reclamaciones o denuncias recibidas en la AEPD y relacionadas con la protección de datos personales.

Dichas funciones se desempeñan respecto de tres tipos de procedimientos:

Tutela de los derechos reconocidos en la LOPD. Expedientes sancionadores contra entidades privadas. Expedientes sancionadores contra Administraciones públicas.


168168

Régimen sancionador (arts. 43 a 45 LOPD)

- Infracciones y sanciones: leves, graves y muy graves.

INFRACCIÓN SANCIÓN

Leve De 600 a 60.000 euros

GraveDe 60.001 a 300.000

euros

Muy graveDe 300.001 a 600.000

euros


169169

LEVES No atender por motivos formales solicitudes de rectificación o cancelación No proporcionar información requerida por la AEPD No inscribir ficheros en el Registro General de Protección de Datos No cumplir el deber de información Vulnerar el deber de secreto

GRAVES No recabar el consentimiento de los titulares Mantener datos inexactos No aplicar las medidas de seguridad correspondientes Obstrucción de la labor inspectora

MUY GRAVES Recogida de datos de forma engañosa Comunicación de datos sin requisitos legales Tratar datos de nivel alto sin consentimiento expreso/expreso y escrito


170170

Habituales Incumplimientos

Gestión de los derechos ARCO

Falta de consentimiento para el tratamiento

Cesiones no consentidas ni amparadas en excepciones

Deber de información

Deber de secreto/medidas de seguridad

Identificación telefónica/telemática en procesos de contratación

Procesos sin capacidad de mantener una prueba


171171

14. INSPECCIÓN POR LA AUTORIDAD DE CONTROL

14. INSPECCIÓN POR LA AUTORIDAD DE CONTROL

172172

¿Cómo se comunica?

¿Cómo es? ¿Qué se investiga?

¿Cómo hay que actuar?

Antes de la inspección Durante la inspección

La importancia del Acta de Inspección

14. Inspección por la Autoridad de Control

173173

• Fases.

Actos previos. El aviso. Envío notificación vs. actuación por sorpresa. La preparación del ente auditado. Inspección y prueba. Documentos, sistemas, aplicaciones. Levantamiento del acta.

• Acta de fin de la inspección.

Se extiende por duplicado. Debe reflejar hechos y actuaciones llevados a cabo. Firma por representante de la entidad. Resultado: Inexistencia de infracción (archivo) vs. confirmación indicios infractores (apertura expediente sancionador).

La Inspección de la AEPD


174174

175175


176176


177177

178178

El Procedimiento Sancionador


• Siempre se inicia de oficio, por resolución del Director de la AEPD, a iniciativa de la propia AEPD o por denuncia de particular.

• Fases.

Actuaciones previas. Requerimiento de información. Iniciación. Instrucción. Resolución.

• Recursos.

Contra la resolución del Director de la AEPD cabe interponer recurso de reposición (potestativo, 1 mes ante la AEPD) o recurso contencioso administrativo (2 meses ante la Audiencia Nacional).

Pasos

179179

Pasos

180180

15. CONCIENCIACIÓN DEL PERSONAL15. CONCIENCIACIÓN DEL PERSONAL

181181

Cumplimiento de la normativa de protección de datos -> formación personal (interno y/o externo).

División de grupos formativos agrupados por:

Diseño del Plan de Formación:

15. Concienciación del personal

• Personas o roles que tengan funciones o competencias relacionadas con la gestión del cumplimiento de la normativa sobre protección de datos personales.• Personas o o roles que tengan funciones cuyo desarrollo de tareas (de negocio o de soporte a negocio), tenga incidencia significativa.• Resto de personas o roles de la Entidad.

• Delimitación de los objetivos, contenidos y metodologías a utilizar.• Resultados que se buscan con la formación y vinculación de los asistentes con relación a tales resultados.• Explicitación de las acciones que, en el futuro, se pueden llevar a cabo con fines de refuerzo del mensaje y para evitar que se pierda el esfuerzo realizado.

182182

Asistentes (Responsable Funcional del Fichero, Responsable Operativo del Fichero, Responsable de Seguridad, Auditoría Interna, etc.)

Contenido mínimo recomendable:

• Origen y marco jurídico de la protección de datos personales.• Principios de la protección de datos: calidad, información y consentimiento.• Relaciones con terceros: comunicación de datos v. acceso para prestación de servicios.• Derechos de acceso, rectificación, cancelación y oposición.• Autoridades de Control, en particular, ejercicio de las potestades inspectora y sancionadora.• Seguridad sobre datos personales: el Reglamento de Medidas de Seguridad (Medidas organizativas: gestión y Medidas técnicas: implantación y control).

15. Concienciación del personal

183183

16. ESPECIAL REFERENCIA: VIDEOVIGILANCIA

16. ESPECIAL REFERENCIA: VIDEOVIGILANCIA

184184

185185

16. Especial referencia: Videovigilancia

Marco Legal de la Videovigilancia privada en el ámbito empresarial

SEGURIDAD VS. PRIVACIDAD

Hay un vacío legal, si bien de una parte supone que la utilización de cámaras para videovigilancia privada no esté prohibida, tampoco implica que dicha utilización no esté sujeta a límite alguno:

Límites impuestos por la Ley Orgánica 1/1982 de 5 mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen

• Artículo 7 considera una intromisión ilegítima “la captación, reproducción o publicación por fotografía, filme o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”.

• Delimitación de la “esfera privada” de la persona

186186

Marco Legal de la Videovigilancia privada en el ámbito empresarial

¿Es posible la videovigilancia dirigida a los trabajadores?

• El Estatuto de los Trabajadores establece en su art. 20.3 que:

“El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales,

guardando en su adopción y aplicación la consideración debida a su dignidad humana (…)”.

Límites:

• Deben instalarse únicamente en los lugares donde su utilización sea estrictamente necesaria. • Evitar, la captación de imágenes de la vía publica, a través de la instalación de dispositivos que impidan una grabación indiscriminada de imágenes, toda vez que la vigilancia de la vía pública está encomendada a los Cuerpos y Fuerzas de Seguridad del Estado.• Anunciar a los interesados de manera clara y permanente de la existencia de videocámaras fijas y de la Autoridad responsable.


187187

Responsabilidad de ficheros con imágenes

• Variedad de supuestos y figuras:

• Responsable del fichero: decide sobre finalidad, uso y tratamiento de los datos.

• Cesionario: recibe los datos para un fin legítimo y previo consentimiento, como norma general.

• Encargado de Tratamiento: accede a los datos de terceros para llevar a cabo la prestación de un servicio.

• ¿Empresa de seguridad?

• Entidad propiedad del edificio• Empresas arrendatarias de una o varias plantas• Empresa de seguridad


188188

Instrucción de la Agencia Española de Protección de Datos

Instrucción 1/2006, de 8 noviembre, por la que se que regula el tratamiento de imágenes de personas físicas identificadas o identificables con fines de vigilancia, a través de sistemas de cámaras y videocámaras

• Objetivo: lograr una regulación concreta y garantizar los derechos de las personas cuyas imágenes son tratadas por medio de sistemas de cámaras y videocámaras con fines de Vigilancia.

• De entre las obligaciones que impone a los Responsables de los Ficheros que implanten sistemas de videovigilancia, cabe destacar las siguientes:

• Notificar un fichero en el Registro General de la AEPD, cuando se graben imágenes.

• Cancelar las imágenes grabadas en un plazo máximo de un mes desde su captación.

• Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados.


189189

17. NORMATIVA RELACIONADA17. NORMATIVA RELACIONADA

190190

Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información

A) MEDIDAS DE IMPULSO DE LA SOCIEDAD DE LA INFORMACIÓN

• Exigencia de cumplimiento de la LOPD y normativa de desarrollo -> tratamiento y conservación de datos personales necesarios para la facturación electrónica (art.1).

• Exigencia a las empresas que presten servicios al público en general de especial trascendencia económica (suministro de electricidad, gas, aseguradoras, transportes, etc.), habilitar medio de interlocución telemática que, entre otros trámites, se permita el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (art.2).

B) MODIFICACIONES LEGISLATIVAS

• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico -> obligación de respeto a las normas y procedimientos previstos en el ordenamiento jurídico para proteger los datos personales.

• Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista -> posibilidad de sanción conforme a lo dispuesto en la LOPD.

17. Normativa relacionada

191191

Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la

Información

• Obligatoriedad del uso de la facturación electrónica en el marco de la contratación con el sector público estatal.

• Obligatoriedad de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica.

• Fomento de la realización de ofertas públicas de contratación electrónica entre empresas.


192192


Información

• Regulación de actividades de juego y apuestas, en particular las realizadas a través de sistemas interactivos basados en comunicaciones electrónicas (juegos y apuestas online).

• Posibilitar que los contenidos digitales de titularidad pública (derechos de propiedad intelectual que pertenezcan a la Administración sin restricciones o de dominio público) sean puestos a disposición del público sin restricciones tecnológicas para su estudio, copia o redistribución.


193193


• Elaboración de un Plan de mejora de los niveles de seguridad y confianza en Internet.

• Adopción de medidas para hacer posible el uso de caracteres propios de las lenguas oficiales españolas (ñ o ç, por ejemplo) en los dominios bajo el código territorial ".es" y fomento del pluralismo lingüístico en el uso de las tecnologías de la Sociedad de la Información.

• Ampliación del Servicio Universal en materia de telecomunicaciones a los servicios de acceso a Internet con banda ancha.


194194


Información

• Importancia del uso de certificados electrónicos de firma.

• Consecuencias prácticas de su uso. Identificación y autenticación.

• La LISI fomenta el uso de certificados reconocidos de firma electrónica. Algunas medidas de impulso requieren del uso de certificados reconocidos.

• Certificados reconocidos vs. Firma Electrónica reconocida.


195195


Dará lugar a:

• Entornos electrónicos de gestión de terceros. • Entornos electrónicos de gestión de documentos.

El uso de la firma electrónica, así como la validación de los certificados electrónicos utilizados, y la custodia de documentos electrónicos que garantice su no alteración y su utilización como prueba en juicio, son los elementos comunes y transversales para el cumplimiento de la LISI.


196196

197197

198198

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico

Comunicaciones comerciales y ofertas promocionales -> LOPD.

Claramente identificables y persona física o jurídica (“publicidad” o “publi”).

Prohibición de envío -> no solicitadas o expresamente autorizadas. Excepto:

Posibilidad de oponerse al tratamiento mediante procedimiento sencillo y gratuito -> momento de recogida de datos y en cada comunicación comercial.

Revocación de consentimiento en cualquier momento -> procedimiento sencillo y gratuito.

Dispositivos de almacenamiento y recuperación de datos en equipos terminales -> información sobre utilización y finalidades y posibilidad de rechazar el tratamiento de datos mediante procedimiento sencillo y gratuito.

Relación contractual previa -> siempre que obtención de datos de forma lícita y referente a productos/servicios de su Entidad, similares a los que fueron objeto de contratación.


199199

Ley 59/2003, de 19 de diciembre, de Firma Electrónica

Obligaciones de Prestadores de Servicios de Certificación:

1) Protección de datos personales (art. 17):

2) Declaración de Prácticas de Certificación (art. 19):

• Cumplimiento de la normativa de protección de datos.• Consentimiento de los firmantes (no tratamiento distinto sin consentimiento expreso de los firmantes).• No inclusión en el certificados electrónico de datos de nivel alto.

• Consideración de Documento de Seguridad.• Disponible al público de forma gratuita.


200200

Ley 26/2006, de 17 de julio, de Mediación de Seguros y Reaseguros Privados

Sección V: Protección de Datos de Carácter Personal:

Los agentes de seguros exclusivos y los operadores de banca-seguros exclusivos, tendrán la condición de Encargados del Tratamiento de la entidad aseguradora con la que hubieran celebrado el correspondiente Contrato de Agencia.

Los agentes de seguros vinculados y los operadores de banca-seguros vinculados, tendrán la condición de Encargados del Tratamiento de las entidades aseguradoras con las que hubieran celebrado el correspondiente Contrato de Agencia.

Los corredores de seguros y los corredores de reaseguros, tendrán la condición de Responsables del Tratamiento respecto de los datos de las personas que acudan a ellos.

Los auxiliares externos tendrán la condición de Encargados del Tratamiento de los agentes o corredores de seguros con los que hubieran celebrado el correspondiente Contrato mercantil.

En el Contrato de Agencia deberán hacerse constar los extremos previstos en el art. 12 LOPD.


201201



Los agentes de seguros y operadores de banca-seguros, únicamente podrán tratar los datos de los interesados en los términos y con el alcance que se desprenda del Contrato de Agencia de Seguros y, siempre, en nombre y por cuenta de la Entidad aseguradora.

Los operadores de banca-seguros no podrán tratar los datos sin contar con el consentimiento inequívoco y específico de los afectados.

Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:


• Antes de que aquéllos celebren el Contrato de Seguro, con las finalidades de ofrecerles asesoramiento independiente, profesional e imparcial y de facilitar dichos datos a la Entidad aseguradora o Reaseguradora con la que fuese a celebrarse el correspondiente Contrato.• Después de celebrado el Contrato de Seguro, exclusivamente para ofrecerles asesoramiento independiente, profesional e imparcial.

202202



Para la utilización y tratamiento de los datos para cualquier otra finalidad distinta -> consentimiento de los interesados.

Resuelto el Contrato de Seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de sus datos para otras finalidades y, en particular, para la celebración de un nuevo Contrato.

En todo caso, el corredor de seguros y el corredor de reaseguros no podrán facilitar los datos del interesado a otra Entidad distinta de aquella con la que el interesado hubiera celebrado el Contrato resuelto si no media su consentimiento inequívoco para ello.


203203

Ley 13/2007, de 2 de julio, por la que se modifica el Texto Refundido de la Ley de Ordenación y Supervisión de los Seguros Privados, aprobado por el Real Decreto Legislativo 6/2004, de 29 de octubre, en materia de supervisión del Reaseguro

Art.58 bis. Texto Refundido de la Ley de Ordenación y Supervisión de los Seguros Privados, aprobado por el Real Decreto Legislativo 6/2004, de 29 de octubre, en materia de supervisión del Reaseguro

“9. Será de aplicación a las Entidades Reaseguradoras lo dispuesto en los apartados 1, 4, 7 y 8 del art. 25.

El asegurador directo podrá comunicar al Reasegurador, sin consentimiento del tomador del seguro o asegurado, los datos que sean estrictamente necesarios para la celebración del Contrato de Reaseguro, en los términos previstos en el artículo 77 de la Ley 50/1980, de 8 de octubre, de Contrato de Seguro”.


204204

Ley 30/2007, de 30 de octubre, de Contratos del Sector Público

Disposición Adicional 31ª:

Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la Entidad contratante, aquél tendrá la consideración de Encargado del Tratamiento.

En este supuesto, el acceso a esos datos no se considerará comunicación de datos, cuando se cumpla lo previsto en el artículo 12.2 y 3 de la Ley Orgánica 15/1999, de 13 de diciembre. En todo caso, las previsiones del artículo 12.2 de dicha Ley deberán de constar por escrito.

Cuando finalice la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos a la Entidad contratante responsable, o al Encargado de Tratamiento que ésta hubiese designado.

El tercero Encargado del Tratamiento, conservará debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con la entidad responsable del tratamiento.


205205


Disposición Adicional 31ª:

En el caso de que un tercero trate datos personales por cuenta del contratista, el Encargado del Tratamiento, deberán de cumplirse los siguientes requisitos:

a) Que dicho tratamiento se haya especificado en el Contrato firmado por la Entidad contratante y el contratista.

b) Que el tratamiento de datos de carácter personal se ajuste a las instrucciones del Responsable del Tratamiento.

c) Que el contratista Encargado del Tratamiento y el tercero formalicen el Contrato en los términos previstos en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre.

En estos casos, el tercero tendrá también la consideración de Encargado del Tratamiento.


206206


Cómo regular el tratamiento de datos:

Inclusión en los Pliegos de los requisitos exigidos en la LCAP y el art. 12 LOPD.

Desarrollar un Convenio entre AA.PP. y Empresa Concesionaria sobre los aspectos de detalle en el tratamiento de datos, que incluya:

Qué cláusulas de información utilizar. Cómo gestionar los derechos A.R.C.O. Procesos de entrega y petición de datos durante el Contrato. Revisiones sobre las medidas de seguridad. Etc.


207207

ECIJAPlaza del Marqués de Salamanca, 3-4, planta 428006 MadridTfno: 91 781 61 60Fax: 91 578 38 79

GRACIAS POR SU ATENCIÓNGRACIAS POR SU ATENCIÓN

© ECIJA | | | | E CIJA Derecho y Tecnología ECIJA.

Documents

Transcript of © ECIJA | | | | E CIJA Derecho y Tecnología ECIJA.