CURSO DE

L.O.P.D

Residencia Santa María del Monte Carmelo

17/8/2015

¿QUÉ ES LA L.O.P.D.?

Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal.

En su art.1. se señala:

“La presente Ley Orgánica tiene por objeto

garantizar y proteger, en lo que concierne al

tratamiento de los datos personales, las libertades

públicas y los derechos fundamentales de las

personas físicas, y especialmente de su honor e

intimidad personal y familiar.”

ÁMBITO DE APLICACIÓN

1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

ÁMBITO DE APLICACIÓN

a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.

f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.

j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

L.O.P.D EN RESIDENCIA MONTE CARMELO

Existen dos niveles de acceso a información:

Nivel alto.

Nivel básico.

¿qué datos son necesarios que conozca para poder

desempeñar mi trabajo?

Es responsabilidad del usuario el cumplir con las medidas

que impidan la utilización fraudulenta de dicha información

durante el tratamiento de la misma, mediante el

cumplimiento de las normas de organización.

NORMAS GENERALES DE

TRATAMIENTO DE LOS FICHEROS

1.- Los usuarios no pueden crear ficheros nuevos que contengan información de carácter personal.

2.- Se prohíbe la inclusión en los campos de observaciones de datos relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual o de opiniones subjetivas sobre personas físicas.

3.- Cualquier trabajador de la empresa, que reciba por teléfono, correo postal o electrónico, la solicitud de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos de carácter persona, deberá comunicarlo de forma inmediata al responsable de seguridad de la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO.

4.- Cada usuario tendrá acceso únicamente a la información necesaria para el desarrollo de sus funciones, según su puesto de trabajo o la actividad que le ha sido asignada en la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO.

5.- El acceso a los datos de carácter personal automatizados se realizará mediante contraseña. Cada trabajador se responsabiliza de las acciones realizadas con su contraseña. Por este motivo, se deberá extremar el rigor en la custodia de la contraseña o clave.

6.-Cualquier usuario que conozca hechos o circunstancias que puedan constituir una incidencia, que implique un riesgo respecto a la seguridad de los datos de carácter personal, deberá notificarlo de forma inmediata al responsable de seguridad de la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO.

7.- Se recomienda controlar el número de

grabaciones hechas en los soportes regrabables,

para evitar errores por un uso excesivo.

8.- En todos los casos en que los soportes vayan a

salir de la empresa RESIDENCIA SANTA MARIA

DE MONTECARMELO, se utilizarán soportes

debidamente borrados o nuevos. Si los datos son

de nivel alto de seguridad se exige que vayan

cifrados.

9.- Para la destrucción de los soportes, en el caso

de papel se utilizarán las destructoras, y en los

soportes informáticos el medio que designe el

responsable de seguridad de la empresa

RESIDENCIA SANTA MARIA DE

MONTECARMELO.

FICHEROS TEMPORALES

Los ficheros temporales tendrán una duración limitada en relación con la función para la que han sido creados, y su creación deberá ser expresamente autorizada por el Responsable de Seguridad de la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO.

Todo fichero temporal tendrá un responsable del mismo. Dicha responsabilidad recaerá en la persona que tratará cada fichero. Este responsable lo será ante la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO del uso que de dicho fichero se haga, y que este uso esté amparado por la finalidad para la que se creó.

Todos los ficheros temporales deberán ser eliminados, una vez hayan sido utilizados para la finalidad para la que se crearon, o cuando hayan cumplido el tiempo de vigencia del mismo, si así se hubiera impuesto.

Además, se evitará el envío de ficheros temporales con datos de carácter personal mediante correo electrónico. Si fuese necesario, se adoptarán las medidas necesarias para garantizar su confidencialidad.

Cualquier incidencia relacionada con los ficheros temporales, deberá ser comunicada de forma inmediata al Responsable de Seguridad de la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO.

COPIAS DE SEGURIDAD

La empresa RESIDENCIA SANTA MARIA DE

MONTECARMELO solamente podrá garantizar la

realización de copias de seguridad de la

información contenida en los ficheros o bases de

datos alojados en los servidores de la empresa.

Por ello, el usuario es responsable de la pérdida

de la información que se conserve al margen de los

servidores de la empresa. Todo aquello que este

fuera del buzón compartido.

CONFIDENCIALIDAD

El usuario deberá guardar confidencialidad sobre la información conocida por razón de su relación laboral o funcionarial con la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO.

Esta absolutamente prohibido la cesión, difusión o revelación de dicha información sin el consentimiento de sus titulares.

El usuario que intervenga en cualquier fase del tratamiento de datos de carácter personal, está obligado al secreto profesional respecto de los mismos, y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO.

SECRETO PROFESIONAL

EJEMPLO: CÓDIGO DEONTOLÓGICO. TRABAJO

SOCIAL.

Art. 11.- Los/as profesionales del trabajo social

actúan desde los principios de derecho a la

intimidad, confidencialidad y uso responsable de la

información en su trabajo profesional.

Art. 28.- El/la profesional del trabajo social debe

registrar y archivar debidamente la documentación

realizada a fin de poder transferir o derivar a los

profesionales correspondiente para evitar

reiteraciones o retrocesos en la actividad

profesional.

SECRETO PROFESIONAL

Art. 41.- El/la profesional del trabajo social, en relación con la organización y el trabajo en equipo, tenga en cuenta que la documentación profesional está sujeta a criterios de confidencialidad, por lo que su uso queda limitado por y para el objetivo profesional de que se trate. Solicite las medidas de seguridad necesarias para garantizar dicha confidencialidad.

Art. 44.- El/la profesional de trabajo social vele para que los informes realizados, a petición de su entidad o cualquier otra organización, permanezcan sujetos al deber y al derecho general de la confidencialidad. En cualquier caso la entidad solicitante quedará obligada a no darles difusión fuera del objetivo concreto para el que fue solicitado en los términos que se establecen en el siguiente capítulo.

SECRETO PROFESIONAL

Art.48.- La confidencialidad constituye una obligación en la actuación del/a trabajador/a social y un derecho de la persona usuaria, y abarca a todas las informaciones que el/la profesional reciba en su intervención social por cualquier medio.

Art. 49.- Están sujetos/as al secreto profesional: Los/as profesionales del trabajo social cualquiera que sea

su titulación, ámbito de actuación y modalidad de su ejercicio profesional

Los/as profesionales que trabajan en equipo con el/la profesional del trabajo social y que, por su intervención y con independencia de su profesión, tengan conocimiento de cualquier información confidencial.

El alumnado de trabajo social en prácticas y el voluntariado que ocasionalmente intervengan junto con el/la trabajador/a social.

El/la profesional del trabajo social solicitará discreción a los/as colaboradores/as, personal administrativo, estudiantes, voluntarios/as o de cualquiera otro tipo, que por razón de su profesión manejen información confidencial, haciéndoles saber la obligación de guardar silencio sobre la misma, sin prejuicio de firmar cláusulas de obligación de secreto conforme a la normativa de protección de datos

POLÍTICA DE USO DE INTERNET Y CORREO

ELECTRÓNICO

Esta política tiene por objeto establecer las normas para el uso de Internet y del correo electrónico en la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO, y resulta de obligado conocimiento y cumplimiento para todo el personal interno.

NORMA GENERAL.

La empresa RESIDENCIA SANTA MARIA DE MONTECARMELO, pone a disposición de sus trabajadores distintas herramientas de informática que deberán utilizarse para exclusivamente fines profesionales. Se tolerará un uso personal de las mismas para fines particulares, siempre que se produzca que manera excepcional, y no atente contra la imagen, integridad y el rendimiento del negocio de la Organización.Los trabajadores y colaboradores que abusen de las herramientas informáticas que se le han asignado serán apercibidos formalmente por la Dirección de la Organización o por su superior jerárquico.

USO DE INTERNET La empresa RESIDENCIA SANTA MARIA DE MONTECARMELO controla por

motivos de seguridad los accesos a Internet realizados desde sus instalaciones. Aquellos trabajadores que realicen un abuso para fines particulares de este medio serán apercibidos.

Está prohibido:

El acceso a páginas de contenido ilícito o que atenten contra la dignidad humana: aquellas que realizan apología del terrorismo, páginas con contenido xenófobo, racista, o antisemita, etc...

La participación en foros o chats de discusión.

La descarga de ficheros, programas o documentos que contravengan las normas de la compañía sobre instalación de software y propiedad intelectual.

Ningún usuario está autorizado para instalar software en su ordenador. El usuario que necesite algún programa específico para desarrollar su actividad laboral, deberá comunicarlo al responsable informático que se encargará de realizar las operaciones oportunas.

Consultar páginas no autorizadas y realizar descargas de sitios no controlados.

Ejemplos de páginas Web autorizadas son aquellas que:

Faciliten un contenido relacionado con la función del trabajador en la empresa (por ejemplo, sitios institucionales, revistas especializadas, etc.…)

Faciliten noticias de interés general (como periódicos digitales, etc....)

Faciliten servicios de guías telefónicas, callejeros, meteorología, etc...

En todo caso, la consulta de estas páginas no podrá resultar abusiva.

USO DEL CORREO

ELECTRÓNICO. La cuenta de correo que proporciona la empresa se destinará a uso

profesional, no pudiéndose utilizar para fines particulares, excepto en casos puntuales justificados. Está prohibida la suscripción del correo electrónico corporativo a servicios de noticias no relacionados con la actividad profesional.Todos los empleados y colaboradores de la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO que dispongan de una cuenta de correo corporativa seguirán las siguientes buenas prácticas:

No facilitar la cuenta de correo a personas no autorizadas.

No utilizar la cuenta de correo como dirección de contacto en trámites personales.

No participar en el envío de cadenas de mails. No distribuir mensajes con contenidos inapropiados (contenido ofensivo, homófobo, racista, discriminatorio, …)

Se deberá verificar el destinatario y el contenido del mensaje antes de enviarlo.

El usuario utilizará como firma automática de sus mails el modelo corporativo donde aparece su puesto en la empresa y el aviso de confidencialidad corporativo.

USO DEL CORREO

ELECTRÓNICO.

Queda prohibido desinstalar la firma automática de su gestor de correo.

La empresa RESIDENCIA SANTA MARIA DE MONTECARMELO podrá acceder a las cuentas corporativas de los usuarios en caso de enfermedad, vacaciones o despido de los empleados para continuar realizando las actividades propias de su puesto trabajo.

Es obligación del trabajador borrar todos los mensajes de carácter personal que pudieran estar contenidos en su buzón de correo periódicamente.

Cualquier trabajador que realice un mal uso de las herramientas informáticas que le han sido asignadas, será apercibido formalmente y por escrito por su superior jerárquico. Los abusos continuados, una vez realizado el apercibimiento, tendrán la consideración de infracción laboral grave y podrán dar lugar a sanciones disciplinarias.

USO DEL FAX1º. Prepare una carátula corporativa para los faxes de la empresa RESIDENCIA SANTA

MARIA DE MONTECARMELO

Señalar claramente el destinatario, el asunto, la fecha, el emisor y su número de teléfono. Además, en la carátula corporativa, podrá añadir un aviso de confidencialidad como el que sigue:

“El contenido de este fax es confidencial y va dirigido exclusivamente a la persona que figura como destinatario. Está totalmente prohibida cualquier divulgación, distribución o reproducción de esta comunicación. Si lo ha recibido por error, por favor, destrúyalo y póngase en contacto con el emisor en su número de teléfono.”

2º. Queda Prohibido el envío de publicidad por mail sin autorización de la dirección.

No podemos enviar publicidad por fax que previamente no haya sido consentida por el titular de la línea, independientemente de que ese número corresponda a una empresa o figure en un listín telefónico.

3º. Destruya periódicamente los faxes recibidos que se acumulan en la bandeja de salida del fax.

4º. Coloque una nota junto al fax con las normas de uso del mismo para concienciar al personal de su cumplimiento:

Utilización obligatoria de carátula

Recogida de faxes diaria

Revisión del número marcado antes de dar a enviar

Aviso al receptor del envío y comprobación de la correcta recepción en el caso de documentos importantes.

TRATAMIENTO DE DATOS 1º. Mesas limpias. Al finalizar la jornada laboral, guarda todos los

documentos con los que hayas estado trabajando en cajones o armarios. Piensa que cuando estás fuera de la oficina, otras personas pueden leer los expedientes o informes que has dejado sobre la mesa.2º. Destrucción segura. Los usuarios se asegurarán que el papel que contenga documentación confidencial una vez que no sea necesario, sea destruido, preferentemente mediante el uso de destructoras de papel.3º. Oficina sin papel. Reduce la información en soporte papel que manejas. Escanea y destruye todo aquello de lo que no vayas a necesitar el original….pero recuerda que algunos documentos como los contratos, los “recibí” o los albaranes que van firmados por otras personas no se pueden destruir por si fuera necesario acreditar su autenticidad en un juicio o presentarlos a una auditoria.4º. Trabajo fuera de la oficina. Evitar sacar o documentos o informes confidenciales de la oficina (por ejemplo, para trabajar en casa, para leer durante el descanso del café…) Cada vez que lo haces, lo expones a riesgos como la pérdida o el robo. Es muy fácil olvidar una carpeta o un maletín en un autobús o en una cafetería.5º. Impresiones segura. Imprime datos o documentos que tengas en formato electrónico sólo cuando sea estrictamente necesario.

TRATAMIENTO DE DATOS En el caso de utilización de impresoras que se encuentren compartidas,

el usuario deberá estar presente en el momento de la salida de los documentos que contengan información de carácter personal, evitando que personas no autorizadas puedan tener acceso a éstos.6º. Documentos abandonados. Revisa periódicamente las bandejas de entrada y salida del fax y de las impresoras compartidas para evitar que se acumulen documentos abandonados a los que puede acceder cualquiera.7º. Reutilización de papel. Es una mala práctica reutilizar la cara en blanco de informes y documentos como borrador... A veces se escriben mensajes o notas por detrás de listados de clientes o documentos confidenciales.

8º. Archivo adecuado. Archiva la documentación de la que eres responsable de manera adecuada. Respeta los criterios de almacenamientos fijados por la organización. Recuerda que la información sensible debe permanecer bajo llave y es de acceso restringido.

El Responsable de seguridad de la empresa RESIDENCIA SANTA MARIA DE MONTECARMELO se asegurará que en que únicamente las personas autorizadas, puedan acceder a los fichero en soporte papel.

DEBER DE COLABORACIÓN

Tu colaboración resulta imprescindible. Comunica

cualquier incidencia de seguridad que afecte a la

seguridad de los datos.

CASOS DE PÉRDIDA DE DATOS EN 2013

El caso Snowden, ex agente de la CIA reveló el espionaje masivo de EEUU.

1. Lets Bonus. 50 millones de cuentas comprometidas.

En abril los servidores de LivingSocial, la propietaria de Lets Bonus, fueron hackeados. Según un comunicado oficial “La única información que podría haberse visto afectada se limita a nombre, dirección de correo electrónico, fecha de nacimiento y contraseña. En todos los casos, las contraseñas están encriptadas, por lo tanto resulta muy poco probable que pudieran ser descifradas. Los datos de las tarjetas de crédito/débito no se han visto afectados en ningún momento”.

CASOS DE PÉRDIDA DE DATOS EN

2013

Facebook reconoce una fuga de datos:

En junio Facebook reconocía una fuga de datos

que afectaba al teléfono y correo electrónico de 6

millones de sus usuarios. Sin embargo,

investigaciones posteriores afirmaban que el

número de afectados era mucho mayor.

Además hubo otros casos, que aunque menores en

el número de afectados, también tuvieron gran

repercusión al ser servicios extensamente

utilizados. Por ejemplo podemos citar el caso del

gestor de contenidos Drupal o el de gestor de

foros vBulletin.

EN ESPAÑA

En España nos hemos encontrado otro tipo de casos

igual de mediáticos. Algunos ejemplos son los discos

duros borrados por el PP en el caso Bárcenas, el

caso del espionaje de Método 3 en el que se cifraron

o eliminaron datos del PSC, o la perdida de

información por parte del PSOE antes del cambio de

gobierno en Castilla-La Mancha, entre otros.

Por último vale la pena citar la nueva tecnología que

está siendo estudiada para averiguar las claves de

cifrado por medio del sonido que emiten los

ordenadores. Parece que cada vez es más difícil

mantener nuestros datos lejos del alcance “de los

malos”.

PÉRDIDA/CESIÓN DE DATOS.

Pérdida de un móvil, Ipad,..

Informes médicos.

Entrega de una carta /sobre a otro destinatario.

TOP TEN DE DESASTRES DE DATOS

EN 2014

Diferencia de opiniones (Polonia). Esta historia es la de un usuario que tuvo pequeñas desavenencias con su portátil. Según relataba él mismo: "Mi portátil no quería seguir mis instrucciones… Perdí los estribos y acabé golpeándolo fuertemente con la mano. La unidad de almacenamiento acabó dañada".

Locura en la cascada (Islandia). Una chica estaba tomando fotos de una hermosa cascada con su smartphone cuando -¡oh, horror!- una ráfaga de viento la dejó empapada. Y no sólo ella estaba cubierta de agua sino también su dispositivo que dejó de funcionar impidiendo el acceso a las fotos.

Le puede pasar a cualquiera (Estados Unidos). Un empleado de Kroll Ontrack se encontraba en una reunión cuando sintió la necesidad de ir al baño. Entonces guardó su iPhone en el bolsillo trasero de sus pantalones. Al ponerse de pie y coger su maletín para salir del baño, el teléfono se deslizó aterrizando de lleno en el inodoro y quedó inservible. En el smartphone este hombre guardaba información importante, incluyendo fotos de su hija, contactos y mensajes de texto.

Un hotel bajo ataque (Estados Unidos). De forma malintencionada, un grupo de hackers se infiltró en 2014 en un hotel de Estados Unidos y borró todos los datos, tanto del disco duro principal como los backups.

El servidor de la Atlántida (Bosnia y Herzegovina). Una inundación en los países de los Balcanes arrastró durante 100 metros un servidor RAID. Se necesitaron dos semanas para localizarlo y todo el tiempo estuvo sumergido en agua.

El misterioso Surface (Estados Unidos). A veces no todo el mundo decide contar lo que le ha pasado. Es el caso del misterioso Microsoft Surface casi hecho pedacitos.

TOP TEN DE DESASTRES DE DATOS EN

2014

Tu perro se ha comido a mi... (Estados Unidos). Las pequeñas llaves USB a veces pueden despertar la atención de nuestra mascota que las ven como un juguete. Esto es lo que le pasó a este perro castigado en su caseta por haber destrozado a mordiscos el pendrive de sus dueños.

El hundimiento del Titanic (Noruega). Por suerte no es habitual que suceda un hundimiento de tales dimensiones como el del Titanic. Sin embargo, este usuario del que os hablamos acabó en el agua con su cámara más de una hora tras un pequeño accidente del ferry en el que viajaba.

La ley de Murphy (Estados Unidos). Si algo puede salir mal, saldrá mal. Una empresa del sector tecnológico preparaba su nueva infraestructura, cuando justo el día de antes de realizar el cambio, la vieja infraestructura de almacenamiento se estropeó.

Peligro de agua en el incendio (Alemania). Aunque pueda parecer raro, no fue el fuego sino el agua lo que dañó el Lumia 610 de un bombero que intentaba apagar un incendio. Como consecuencia se dañaron todos los datos y las fotos de la familia y los amigos que almacenaba.

GRACIAS POR TU

ATENCIÓN!!!!