La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empresa a la LOPD

La gestió documental a l’empresa

Mòdul 1Com i per què adaptar la teva empresa a la LOPD

®

Activitat cofinançada per:


Mòdul 1

Com i per què adaptar la teva empresa a la LOPD

Autora: Alicia Rios ®



®

� El tractament de dades de caràcter personal es regeix per la LOPD(Llei Orgànica de Protecció de Dades de Caràcter Personals).

� Complir amb la LOPD ens don seguretat i imatge

� L'adequació a la LOPD és d’obligat compliment per a tota organització, independentment del seu volum de negoci o activitat.

El desconeixement de la llei no eximeix del seu com pliment



®

� La informació no és no més sobre fets i dades, la informació afecta a persones. I el mètode en que obtenim i tractem la informació afectarà al benestar de la gent i a la seva confiança amb nosaltres.

� La protecció de dades és un dret fonamental de les persones, que busca protegir la seva intimitat i privacitat davant la vulneració d'aquests drets, que poguessin sorgir de la recollida i emmagatzematge de les seves dades personals per qualsevol organització, que utilitzi fitxers amb dades de caràcter personal

� La Llei Orgànica de Protecció de Dades Personals obliga a complir les especificacions regulades en la normativa vigent, sobre la matèria, a tota persona física o jurídica.

Què és exactament LA LLEI DE PROTECCIÓ DE DADES?



®

Glossari de termes més habituals

Fitxer : Conjunt organitzat de dades en qualsevol forma i finalitatTractament de dades: Operacions i procediments tècnics de caràcter automatitzat, o noResponsable del fitxer: Persona física, jurídica que obté les dades amb determinada finalitatEncarregat del tractament: persona física o jurídica que tracta dades per compta del Responsable del fitxerResponsable del tractament: pot ser el propi Responsable del fitxer o un empleat d’aquest.Afectat o interessat: persona física titular de les dades objecte del tractamentDada dissociada: és la que no permet per si mateixa identificar a l’interessat.Cessió de dades: revelació de dades a una persona diferent de l'interessatFonts accessibles al públic: son fitxers que es poden consultar sense més exigència que, si escau, un abonament econòmic: cens promocional, registres col·legis professionals, registres mercantils o de la propietat, guies telefòniques de l’any en curs, etc...Transferència de dades: és el transport de dades per mitjans informàtics, o transport per correu o mitja convencionalTransferència internacional de dades: és l’enviament de dades a un territori fora de l’Espai Econòmic Europeu



®

Què passaria si no existís la LOPD?

- Els nostres telèfons no pararien de sonar amb trucades i SMS publicitaris.

- Les nostres dades es podrien publicar a internet Internet sense cap mirament

- Les nostres bústies de correu electrònic i postal estarien plens

de publicitat sense que poguéssim fer res per evitar-ho



®

Es podrien vendre lliurement bases de dades amb els nostres perfils.

Els Estats podrien controlar als seus ciutadans sense cap tipus d'inconvenient ni previsió legal

Les càmeres de seguretat podrien gravar tots els nostres moviments

sense que fóssim conscients.




®

- Els ciutadans no sabrien on adreçar-se per protegir-se dels abusos que es fan amb les seves dades, sense una Llei que els protegeixi.

- Els nostres passos per Internet serien emmagatzemats, guardats i vigilats sense que fóssim conscients.

- Es podrien crear fitxers personalitzats, d'accés lliure.




®

Tot dret comporta una obligació

Tota organització està obligada, per Reial Decret, a complir amb la normativa vigent, aplicant les mesures de protecció establertes per a les dades que tracta.

No aplicar les mesures de seguretat, o fer un ús indegut de les dades de les persones, pot ocasionar seriosos problemes, tant econòmics com d'imatge sobre la

qualitat dels nostres serveis.

A què ens obliga la LOPD?



®

1. Analitzar el circuit de la informació a l’empresa.

2. Avaluar el nivell de classificació de les dades en funció del grau de seguretat requerit

3. Aplicació de les mesures tècniques i organitzatives necessàries en funció del nivell.

4. Complir amb el deure d’informació per l’ús i tractament de les dades dels nostres clients.

5. Obtenir el consentiment d’incloure les dades als fitxers i, si escau, de la cessió a tercers.

6. Legalitzar els fitxers inscrivint-los al registre oficial de l’Agencia Espanyola de Protecció da Dades

7. Redactar el document de seguretat que recull les mesures implementades a la organització

8. Anomenar contractualment a responsables i encarregats del tractament.

9. Auditar les mesures de seguretat implementades i la seva contrastació amb la normativa.

10.Garantir contractualment la aplicació de les mesures de protecció per part de tercers autoritzats al tractament.

Decàleg d'implementació de la seguretat de les dade s a l’organització



®

Què vol dir tot aixó ?



®

1. Analitzar el circuit de la informació a l’empresa .

Millora de la

productivitat



®

2. Avaluar el nivell de classificació de les dade s en funció del grau de seguretat requerit

Millora

organitzativa



®

3. Aplicació de les mesures tècniques i organitza tives necessàries en funció del nivell.

Evitem riscos

innecessaris



®

4. Complir amb el deure d’informació per l’ús i trac tament de les dades dels nostres clients.

Cadascú

assumeix la seva

responsabilitat



®

5. Obtenir el consentiment per tractar, incloure le s dades als fitxers i, si escau, de la cessió a tercers.

Conèixer els

punts dèbils ens

don seguretat



®

6. Legalitzar els fitxers inscrivint-los al registre oficial de l’Agencia Espanyola de Protecció da Dades

Tothom coneix

i assumeix responsabilitats



®

7. Redactar el document de seguretat que recull les mesures implementades a la organització

Demostrem

qualitat



®

8. Anomenar contractualment a responsables i encarr egats del tractament.

Evitar riscos

innecessaris



®

9. Auditar les mesures de seguretat implementades i la seva contrastació amb la normativa.

Cadascú

assumeix la seva

responsabilitat



®

10. Garantir contractualment la aplicació de les me sures de protecció per part de tercers autoritzats al tractament.

Creem hàbits

de bones

pràctiques



®

Com fer -ho?



®

1.- Conceptes bàsics - El com i per què de la LOPD?

Els ciutadans que cedeixen les seves dades, sigui quina sigui la finalitat, estan emparats pels drets d'accés, rectificació, cancel·lació i oposició de les dades que haguessin cedit, això és el que resumim com a drets A.R.C.O. (Accés, rectificació, cancel·lació i oposició)

L'organització o empresa que hagi recollit les dades personals, ha de facilitar aquests drets l'interessat, en la forma i mitjans que imposa el reglament vigent.

La Llei és aplicable a tot el territori de la Comunitat Econòmica Europea i per a qualsevol ciutadà, independentment del seu origen, condició i situació.



®

2.- Definició dels drets A.R.C.O.

Accés: és el dret de qualsevol persona a ser informada de les dades pròpies queconsten en els fitxers de l’entitat. El termini màxim per donar resposta és de 30 dies.

Rectificació i cancel·lació: Tothom te el dret, i en molts casos la obligació derectificar les dades incorrectes o que hagin canviat, domicili, telèfon, etc. O cancel·lardeterminades dades que considerin no necessàries. Disposarem de 10 dies per ferefectiu el requeriment.

Oposició: es el dret de la persona a oposar-se al manteniment de les seves dadespersonals en els nostres fitxers. Sempre i quan no hagi una llei que ens obligui amantenir-les, com ara dades de facturació, que fiscalment hem de conservar durant 5anys. Tot i així pot oposar-se a qualsevol altre utilitat de les dades, indistintament dela finalitat que tinguessin a l’inici de la relació. Tindrem 10 dies per complir amb lasol·licitud.



®

3.- Obligacions d'empreses, associacions i professio nals.

Les obligacions bàsiques de les organitzacions, es podrien englobar en els següents punts i els que derivin d'aquests:

• Inscripció de fitxers• Sol·licitar només les dades necessàries per la finalitat que es demanen.

• Informar prèviament a la recollida de les dades.

• Obtenir el consentiment per al tractament i cessió de les dades.

• Implantació de mesures de seguretat que garanteixin la seva pèrdua o difusió.

• Designar documentalment als responsables del tractament de les dades.

• Nomenament documental dels encarregat del tractament



®

4.- Marc Legal i components tècnics

La custòdia de dades per part de les organitzacions, implica implementar les mesures de seguretat necessàries per a la seva protecció. Per aquest motiu, l'organització ha d'instal·lar les eines tecnològiques perquè la informació continguda en el seu sistema estigui degudament protegida dels atacs externs, o la pèrdua accidental.

Així doncs, l'empresa està obligada a utilitzar tants components tècnics com fossin necessaris per tenir protegit el seu sistema i mantenir-lo perfectament actualitzat.



®

5.- Principi de informació.

Què informar?Sobre l’existència del fitxer, finalitat i destinatarisDe la identitat i adreça del responsable del tractamentCaràcter necessari de les respostes obtingudes.Dels drets dels afectats i com exercir-los.

Quan?Dades facilitades per l'interessat: prèviament a la recollidaResta de casos: dins dels tres mesos següents

Com?Formularis, contractes, correu electrònic, mailing, etc... i justificants de recepció



®

6.- Deure d'obtenció del consentiment per al tractam ent de les dades o cessions posteriors.

Forma : lliure, inequívoca, específica i informada

Excepcions : Fonts accessibles al públic – cal informar posteriorment a la obtenció per fer-les servirPossibilitat de revocació – s’ha de informar a l’interessat que pot rebutjar que tinguem les seves dades -Dades de menors d'edat – cal obtenir l’autorització dels pares o tutors, però no de l’interessatCasos en que una Llei diferent obligui a obtenir les dades – p.e. registres oficials o contractes negocials-



®

7.- Cessions de dades a prestadors de serveis extern s. Encarregats del tractament.

- Abans de cedir les dades a tercers, hi ha d'haver un contracte previ on s’anomeni a “l’encarregat del tractament" , que és el tercer a qui cediríem les dades.- Quan la cessió sigui obligatòria per a l'empresa no es considera cessió (ex. Seguretat Social, Hisenda, etc.)- El contracte obliga a l’encarregat del tractament a complir amb les mesures de seguretat del fitxer- No es poden utilitzar les dades per a finalitats diferents per a les que es van obtenir.- No es poden comunicar a persones diferents a l’encarregat del tractament.- Un cop acabat el tractament les dades han de ser destruïdes o retornades al responsable del fitxer.



®

8.- Tipus de nivells de seguretat que estableix la L OPD sobre les dades

Nivell bàsicLas mesures de seguretat de nivell bàsics’aplicaran a tots els fitxers que continguindades personals, independentment de queper el tipus de dades sigui necessari afegirmesures previstes en els nivells mig i alt.

Nivell mig• D’infraccions administratives o penals• Dades de tipus financer, solvència o crèdit• De responsabilitat d’Entitats Gestores,

com la Seguretat Social

• Tributaries i en relació amb l’Administració• De mútues d’accidents i malalties professionals• I els que per acumulació de dades permetin

obtenir característiques de personalitat ocomportament

Nivell alt• Ideologia, afiliació sindical, religió, origen racial,

salut o orientació sexual• Dades amb finalitat policial sense consentiment

dels afectats.• Els derivats d’actes de violència de gènere



®

8.- Exigències dels nivells de seguretat per tipus.bàsic mig alt

• Funcions i obligacions del personal si si si• Registre d’incidències si si si• Control d'accessos si si si• Gestió de suports i documents si si si• Identificació i autenticació si si si• Còpies de seguretat i recuperació si si si• Responsable de seguretat - si si• Auditories –bianuals- - si si• Gestió de suports i documents –reg. entrada i sortida - si si• Identificació i autenticació -limitació d’intents- - si si• Control d’accés físic - si si• Registre d’incidències - si si• Gestió i distribució de suports – xifrat i codificació- - - si• Còpies de seguretat i recuperació - - si• Registre d’accessos- - -• Telecomunicacions - -



®

9.- Funciones y obligaciones del personalClasificación del personal: responsable del fichero, responsable de seguridad, administradores y usuarios

Obligaciones generales:- No comunicar los datos a personas no autorizadas para acceder a los mismos.- Facilitar los derechos de acceso, rectificación y cancelación a los interesados a petición del Responsable del Fichero.-Cambiar contraseñas de acceso con la periodicidad establecida o cuando sea conocida, accidental o fraudulentamente por compañeros, colaboradores, etc.- No guardar referencia de su contraseña de acceso al sistema de información.-No dejar información visible en la pantalla de su PC cuando abandone su puesto.- Destruir toda la información en soporte papel, de forma que resulte ilegible.- Hacer las copias de seguridad de toda la información introducida o generada por el sistema informático y custodiarla según las medidas de seguridad aplicables.



®

L’incompliment de la normativa vigent serà considerat una infracció i motiu de sancióLes infraccions es classifiquen en tres nivells: lleus, greus i molt greus Art. 44.2 de la LOPD

Infraccions lleus.

Es considerarien infraccions lleus:• No atendre a la sol·licitud de l’interessat per la rectificació o cancel·lació de les dades• No atendre les sol·licituds de l’AEPD • No realitzar la inscripció de fitxers en els registres, quan no sigui constitutiu d’infracció

greu• Recollir dades sense proporcionar la informació que senyala l’Art. 5 de la LOPD.• Incomplir el deure de secret establert en l’Art. 10 de la LOPD, quan no sigui constitutiu

d’infracció greu.

� Sanció lleu. Art. 45.1 LOPD. : Les infraccions lleus es sancionaran amb multes d’entre 900 € a 40.000 €

10.- Infraccions i sancions.



®

10.- Tipus d’infraccions

Infraccions greus. Es considerarien infraccions greus:• Vulnerar el deure de secret en les dades incorporades als fitxers sobre: infraccions

administratives o penals. Hisenda pública, serveis financers, solvència patrimonial i crèdit, o fitxers que continguin un conjunt de dades suficients per obtenir una avaluació de la personalitat (ex. Currículums)

• Ometre la seguretat en els equips i programes que continguin dades personals.• No enviar a l’AEPD les notificacions previstes en la Llei en el termini en que siguin

requerits.• Obstrucció de l’exercici de la funció inspectora.• No inscriure el fitxer en els registres quan hagi sigut requerit per el Director de l’AEPD.• Incomplir el deure d’informació quan les dades s’obtinguin de persones diferents a

l’afectat.

� Sanció greu. Art. 45.2 LOPD.: les infraccions greus es sancionaran amb multes d’entre 60.000,-€ a 300.500,- €



®

10.- Infraccions i sancions.

Infraccions molt greus. • Tractar dades de forma il·legítima o amb menyspreu dels principis i garanties que

siguin d’aplicació, quan impedeixi o atempti contra l’exercici dels drets fonamentals.• Vulnera el deure de secret sobre dades personals que s’hagin recollit amb finalitat

policial sense el consentiment de l’afectat.• No atendre o obstaculitzar de forma sistemàtica l’exercici dels drets d’accés,

rectificació, cancel·lació o oposició.• No atendre de forma sistemàtica el deure legal de notificació de la inclusió de dades

de caràcter personal en un fitxer.

� Sanció molt greu. Art. 45.3 de la LOPD.: les infraccions molt greus es sancionaran amb multes d’entre 300.500 € a 600.000 €



®

10.- Infraccions i sancions. Sobre aquests articles sancionador existeix una variant que ve donada per l’aprovació de la Llei d’Economia Sostenible del 6 de març de 2011, que inclou canvis referits al règim sancionador de la LOPD. Aquests canvis es resumeixen en que l’AEPD podrà modular i adequar les sancions en funció de que es donin varies circumstancies concurrents com :

• Si es una pime o una gran organització.• Depenent de l’activitat de l’entitat infractora.• El reconeixement espontani de culpabilitat de l’infractor. • Que la infracció sigui conseqüència d’una fusió d’entitats. • Si la conducta de l’entitat es diligent i acord a prendre mesures correctives.

L’AEPD podrà ampliar les opcions per adoptar mesures preventives en el compliment de la llei mitjan la figura de l’apercebiment com a mesura no sancionadora. Sempre que les infraccions no estiguin qualificades de molt greus i no siguin reincidents. Optant per l’adopció de mesures correctores que permetin evitar la repetició de la conducta.

En resum queda sota el criteri de l’AEPD aplicar l’apercebiment o una reducció de la sanció.



®

Aquest resum pretén donar a conèixer les bases sobre les quals s'assenta la LleiOrgànica de Protecció de Dades, els drets que confereix als ciutadans i lesobligacions que les associacions han de complir.

Les particularitats derivades de la idiosincràsia de tota organització, ja siguin pimes,associacions, multinacionals, administracions públiques, comunitats de veïns, clubs...haurien de ser analitzades de forma individual per poder avaluar en quina mesura potestar afectat el seu circuit d'informació i quines mesures de seguretat s'han d'adoptarper garantir la protecció de les dades que tracta.

Es recomana que aquesta tasca sigui realitzada per especialistes, o be sol·licitar l’ajutdirecte de l’Agencia Espanyola de Protecció da Dades, que ofereix un serveid’atenció que resoldrà els dubtes personalitzats per cada cas.

www.agpd.es



®

L’HI HA QUEDAT CAP DUBTE?



®

Gracies per la seva atenció


Mòdul 2Limitacions i obligacions sobre la protecció de dades en el comerç electrònic - LSSI-CE

Pròxim 2 de desembre 2014de 9:30 a 12:30Professora: Alicia Rios

La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empresa a la LOPD

Education

Transcript of La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empresa a la LOPD