Transcript of Protección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociAL
PROTECCIOacuteN DE DATOS PERSONALES
EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
Estaacute considerado como un derecho del mayor rango y proteccioacuten legal que poseen las personas y se traduce en un poder de disposicioacuten y control sobre su informacioacuten personal
Denominado de ldquoautodeterminacioacuten informativardquo faculta a las personas a decidir si quieren proporcionar sus datos a un tercero queacute datos con queacute finalidad y a poder oponerse a su tratamiento
Para proteger nuestra privacidad existen contenidos normativos que regulan el uso de los datos personales entre ellos las previsiones contenidas en la Ley de Acceso a la Informacioacuten Puacuteblica de El Salvador
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL
SALVADOREl art 31 Ley de Acceso a la Informacioacuten Puacuteblica (LAIP)
aprobada por el Decreto Legislativo nuacutemero 534 con vigencia desde el 8 de mayo de 2011 sentildeala que el derecho a la proteccioacuten de datos de caraacutecter personal otorga a las personas el derecho a que se protejan sus datos asiacute como el derecho a saber si se estaacuten utilizando por quieacuten y para queacute a obtener una copia inteligible o comprensible y sin demora de los datos que estaacuten siendo utilizados a modificarlos y actualizarlos y a conocer queacute informacioacuten personal poseen los entes puacuteblicos
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
La proteccioacuten de datos de caraacutecter personal nos obliga a respetar el derecho a la privacidad de las personas titulares de los datos que nuestra institucioacuten ha recogido y tiene almacenados
Para garantizar la proteccioacuten de los datos personales hay que cumplir las obligaciones y medidas de seguridad y facilitar el ejercicio de los derechos personales que la normativa debe reconocer a las personas en tanto titulares de su informacioacuten personal
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
El Instituto de Acceso a la Informacioacuten Puacuteblica (IAIP) tiene facultades para velar por el cumplimiento de la normativa de proteccioacuten de datos
Puede realizar actuaciones inspectoras tanto a peticioacuten o reclamo de las personas titulares de los datos como de oficio en virtud de requerimientos de informaciones y protocolos a quienes administren las bases de datos
Imponer las sanciones que la normativa establezcaE incluso dar traslado a la autoridad judicial de aquellas
actuaciones que puedan considerarse delito
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
Cualquier informacioacuten relativa a una persona que permite identificarla o hacerla identificable por el medio en este uacuteltimo caso de cruzar diferentes datos aislados que en su conjunto permiten reconocer a una persona
La LAIP entiende por datos personales la nacionalidad domicilio patrimonio direccioacuten electroacutenica nuacutemero telefoacutenico u otra anaacuteloga
Los datos personales son muy importantes porque nos identifican y nos describen Pero tambieacuten porque pueden influir en coacutemo nos pueden tratar o evaluar gestionando cruzando o analizando la informacioacuten personal que las personas ofrecen por distintos medios
iquestQueacute son datos personales
DATOS PERSONALES
DATOS LABORALES
Empresa puacuteblica Empresa privada nivel de ingresos datos de salud de
los empleadosDATOS DE
PERSONALIDAD Orientacioacuten
sexual ideologiacutea creencias religiosas
afiliacioacuten sindical gustos
personales
DATOS DE CONSUMO
agua electricidad gas
teleacutefono suscripciones de prensa compras
DATOS BIOMEacuteTRICOS Imagen Voz Iris patrones faciales geometriacutea de la
mano firma datos geneacuteticos
huellas dactilares imagen raza
DATOS DE SALUD
Minusvaliacutea historial meacutedico
Ingresos hospitalarios
enfermedades tabaquismoalcoholismo
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
Existe una serie de datos personales que por su pertenencia a la esfera maacutes delicada de la privacidad de las personas cuentan con una proteccioacuten legal mayor
La LAIP identifica como datos personales sensibles los siguientes el credo religioacuten origen eacutetnico filiacioacuten o ideologiacuteas poliacuteticas afiliacioacuten sindical preferencias sexuales salud fiacutesica y mental situacioacuten moral y familiar y otras informaciones iacutentimas de similar naturaleza o que puedan afectar el derecho al honor a la intimidad personal y familiar y a la propia imagen
Si nuestra organizacioacuten tiene este tipo de datos personales recogidos y almacenados habraacute de adoptar especiales medidas con su tratamiento
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteBLICO
De trabajadores datos de identidad dni edad estado civil familiares de seguridad social curriculum afiliacioacuten sindical bancarios de salud
De personas usuarias datos de personas que acuden a ser asistidas en nuestros servicios
De visitas registros de entrada a sus edificios mediante la indicacioacuten de nombre dni o grabacioacuten de imaacutegenes
De imagen a traveacutes de caacutemaras de videovigilancia para la seguridad
Redes sociales que permiten conocer el perfil de las personas que participan en dichas redes
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
Estaacute considerado como un derecho del mayor rango y proteccioacuten legal que poseen las personas y se traduce en un poder de disposicioacuten y control sobre su informacioacuten personal
Denominado de ldquoautodeterminacioacuten informativardquo faculta a las personas a decidir si quieren proporcionar sus datos a un tercero queacute datos con queacute finalidad y a poder oponerse a su tratamiento
Para proteger nuestra privacidad existen contenidos normativos que regulan el uso de los datos personales entre ellos las previsiones contenidas en la Ley de Acceso a la Informacioacuten Puacuteblica de El Salvador
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL
SALVADOREl art 31 Ley de Acceso a la Informacioacuten Puacuteblica (LAIP)
aprobada por el Decreto Legislativo nuacutemero 534 con vigencia desde el 8 de mayo de 2011 sentildeala que el derecho a la proteccioacuten de datos de caraacutecter personal otorga a las personas el derecho a que se protejan sus datos asiacute como el derecho a saber si se estaacuten utilizando por quieacuten y para queacute a obtener una copia inteligible o comprensible y sin demora de los datos que estaacuten siendo utilizados a modificarlos y actualizarlos y a conocer queacute informacioacuten personal poseen los entes puacuteblicos
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
La proteccioacuten de datos de caraacutecter personal nos obliga a respetar el derecho a la privacidad de las personas titulares de los datos que nuestra institucioacuten ha recogido y tiene almacenados
Para garantizar la proteccioacuten de los datos personales hay que cumplir las obligaciones y medidas de seguridad y facilitar el ejercicio de los derechos personales que la normativa debe reconocer a las personas en tanto titulares de su informacioacuten personal
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
El Instituto de Acceso a la Informacioacuten Puacuteblica (IAIP) tiene facultades para velar por el cumplimiento de la normativa de proteccioacuten de datos
Puede realizar actuaciones inspectoras tanto a peticioacuten o reclamo de las personas titulares de los datos como de oficio en virtud de requerimientos de informaciones y protocolos a quienes administren las bases de datos
Imponer las sanciones que la normativa establezcaE incluso dar traslado a la autoridad judicial de aquellas
actuaciones que puedan considerarse delito
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
Cualquier informacioacuten relativa a una persona que permite identificarla o hacerla identificable por el medio en este uacuteltimo caso de cruzar diferentes datos aislados que en su conjunto permiten reconocer a una persona
La LAIP entiende por datos personales la nacionalidad domicilio patrimonio direccioacuten electroacutenica nuacutemero telefoacutenico u otra anaacuteloga
Los datos personales son muy importantes porque nos identifican y nos describen Pero tambieacuten porque pueden influir en coacutemo nos pueden tratar o evaluar gestionando cruzando o analizando la informacioacuten personal que las personas ofrecen por distintos medios
iquestQueacute son datos personales
DATOS PERSONALES
DATOS LABORALES
Empresa puacuteblica Empresa privada nivel de ingresos datos de salud de
los empleadosDATOS DE
PERSONALIDAD Orientacioacuten
sexual ideologiacutea creencias religiosas
afiliacioacuten sindical gustos
personales
DATOS DE CONSUMO
agua electricidad gas
teleacutefono suscripciones de prensa compras
DATOS BIOMEacuteTRICOS Imagen Voz Iris patrones faciales geometriacutea de la
mano firma datos geneacuteticos
huellas dactilares imagen raza
DATOS DE SALUD
Minusvaliacutea historial meacutedico
Ingresos hospitalarios
enfermedades tabaquismoalcoholismo
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
Existe una serie de datos personales que por su pertenencia a la esfera maacutes delicada de la privacidad de las personas cuentan con una proteccioacuten legal mayor
La LAIP identifica como datos personales sensibles los siguientes el credo religioacuten origen eacutetnico filiacioacuten o ideologiacuteas poliacuteticas afiliacioacuten sindical preferencias sexuales salud fiacutesica y mental situacioacuten moral y familiar y otras informaciones iacutentimas de similar naturaleza o que puedan afectar el derecho al honor a la intimidad personal y familiar y a la propia imagen
Si nuestra organizacioacuten tiene este tipo de datos personales recogidos y almacenados habraacute de adoptar especiales medidas con su tratamiento
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteBLICO
De trabajadores datos de identidad dni edad estado civil familiares de seguridad social curriculum afiliacioacuten sindical bancarios de salud
De personas usuarias datos de personas que acuden a ser asistidas en nuestros servicios
De visitas registros de entrada a sus edificios mediante la indicacioacuten de nombre dni o grabacioacuten de imaacutegenes
De imagen a traveacutes de caacutemaras de videovigilancia para la seguridad
Redes sociales que permiten conocer el perfil de las personas que participan en dichas redes
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL
SALVADOREl art 31 Ley de Acceso a la Informacioacuten Puacuteblica (LAIP)
aprobada por el Decreto Legislativo nuacutemero 534 con vigencia desde el 8 de mayo de 2011 sentildeala que el derecho a la proteccioacuten de datos de caraacutecter personal otorga a las personas el derecho a que se protejan sus datos asiacute como el derecho a saber si se estaacuten utilizando por quieacuten y para queacute a obtener una copia inteligible o comprensible y sin demora de los datos que estaacuten siendo utilizados a modificarlos y actualizarlos y a conocer queacute informacioacuten personal poseen los entes puacuteblicos
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
La proteccioacuten de datos de caraacutecter personal nos obliga a respetar el derecho a la privacidad de las personas titulares de los datos que nuestra institucioacuten ha recogido y tiene almacenados
Para garantizar la proteccioacuten de los datos personales hay que cumplir las obligaciones y medidas de seguridad y facilitar el ejercicio de los derechos personales que la normativa debe reconocer a las personas en tanto titulares de su informacioacuten personal
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
El Instituto de Acceso a la Informacioacuten Puacuteblica (IAIP) tiene facultades para velar por el cumplimiento de la normativa de proteccioacuten de datos
Puede realizar actuaciones inspectoras tanto a peticioacuten o reclamo de las personas titulares de los datos como de oficio en virtud de requerimientos de informaciones y protocolos a quienes administren las bases de datos
Imponer las sanciones que la normativa establezcaE incluso dar traslado a la autoridad judicial de aquellas
actuaciones que puedan considerarse delito
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
Cualquier informacioacuten relativa a una persona que permite identificarla o hacerla identificable por el medio en este uacuteltimo caso de cruzar diferentes datos aislados que en su conjunto permiten reconocer a una persona
La LAIP entiende por datos personales la nacionalidad domicilio patrimonio direccioacuten electroacutenica nuacutemero telefoacutenico u otra anaacuteloga
Los datos personales son muy importantes porque nos identifican y nos describen Pero tambieacuten porque pueden influir en coacutemo nos pueden tratar o evaluar gestionando cruzando o analizando la informacioacuten personal que las personas ofrecen por distintos medios
iquestQueacute son datos personales
DATOS PERSONALES
DATOS LABORALES
Empresa puacuteblica Empresa privada nivel de ingresos datos de salud de
los empleadosDATOS DE
PERSONALIDAD Orientacioacuten
sexual ideologiacutea creencias religiosas
afiliacioacuten sindical gustos
personales
DATOS DE CONSUMO
agua electricidad gas
teleacutefono suscripciones de prensa compras
DATOS BIOMEacuteTRICOS Imagen Voz Iris patrones faciales geometriacutea de la
mano firma datos geneacuteticos
huellas dactilares imagen raza
DATOS DE SALUD
Minusvaliacutea historial meacutedico
Ingresos hospitalarios
enfermedades tabaquismoalcoholismo
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
Existe una serie de datos personales que por su pertenencia a la esfera maacutes delicada de la privacidad de las personas cuentan con una proteccioacuten legal mayor
La LAIP identifica como datos personales sensibles los siguientes el credo religioacuten origen eacutetnico filiacioacuten o ideologiacuteas poliacuteticas afiliacioacuten sindical preferencias sexuales salud fiacutesica y mental situacioacuten moral y familiar y otras informaciones iacutentimas de similar naturaleza o que puedan afectar el derecho al honor a la intimidad personal y familiar y a la propia imagen
Si nuestra organizacioacuten tiene este tipo de datos personales recogidos y almacenados habraacute de adoptar especiales medidas con su tratamiento
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteBLICO
De trabajadores datos de identidad dni edad estado civil familiares de seguridad social curriculum afiliacioacuten sindical bancarios de salud
De personas usuarias datos de personas que acuden a ser asistidas en nuestros servicios
De visitas registros de entrada a sus edificios mediante la indicacioacuten de nombre dni o grabacioacuten de imaacutegenes
De imagen a traveacutes de caacutemaras de videovigilancia para la seguridad
Redes sociales que permiten conocer el perfil de las personas que participan en dichas redes
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
La proteccioacuten de datos de caraacutecter personal nos obliga a respetar el derecho a la privacidad de las personas titulares de los datos que nuestra institucioacuten ha recogido y tiene almacenados
Para garantizar la proteccioacuten de los datos personales hay que cumplir las obligaciones y medidas de seguridad y facilitar el ejercicio de los derechos personales que la normativa debe reconocer a las personas en tanto titulares de su informacioacuten personal
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
El Instituto de Acceso a la Informacioacuten Puacuteblica (IAIP) tiene facultades para velar por el cumplimiento de la normativa de proteccioacuten de datos
Puede realizar actuaciones inspectoras tanto a peticioacuten o reclamo de las personas titulares de los datos como de oficio en virtud de requerimientos de informaciones y protocolos a quienes administren las bases de datos
Imponer las sanciones que la normativa establezcaE incluso dar traslado a la autoridad judicial de aquellas
actuaciones que puedan considerarse delito
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
Cualquier informacioacuten relativa a una persona que permite identificarla o hacerla identificable por el medio en este uacuteltimo caso de cruzar diferentes datos aislados que en su conjunto permiten reconocer a una persona
La LAIP entiende por datos personales la nacionalidad domicilio patrimonio direccioacuten electroacutenica nuacutemero telefoacutenico u otra anaacuteloga
Los datos personales son muy importantes porque nos identifican y nos describen Pero tambieacuten porque pueden influir en coacutemo nos pueden tratar o evaluar gestionando cruzando o analizando la informacioacuten personal que las personas ofrecen por distintos medios
iquestQueacute son datos personales
DATOS PERSONALES
DATOS LABORALES
Empresa puacuteblica Empresa privada nivel de ingresos datos de salud de
los empleadosDATOS DE
PERSONALIDAD Orientacioacuten
sexual ideologiacutea creencias religiosas
afiliacioacuten sindical gustos
personales
DATOS DE CONSUMO
agua electricidad gas
teleacutefono suscripciones de prensa compras
DATOS BIOMEacuteTRICOS Imagen Voz Iris patrones faciales geometriacutea de la
mano firma datos geneacuteticos
huellas dactilares imagen raza
DATOS DE SALUD
Minusvaliacutea historial meacutedico
Ingresos hospitalarios
enfermedades tabaquismoalcoholismo
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
Existe una serie de datos personales que por su pertenencia a la esfera maacutes delicada de la privacidad de las personas cuentan con una proteccioacuten legal mayor
La LAIP identifica como datos personales sensibles los siguientes el credo religioacuten origen eacutetnico filiacioacuten o ideologiacuteas poliacuteticas afiliacioacuten sindical preferencias sexuales salud fiacutesica y mental situacioacuten moral y familiar y otras informaciones iacutentimas de similar naturaleza o que puedan afectar el derecho al honor a la intimidad personal y familiar y a la propia imagen
Si nuestra organizacioacuten tiene este tipo de datos personales recogidos y almacenados habraacute de adoptar especiales medidas con su tratamiento
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteBLICO
De trabajadores datos de identidad dni edad estado civil familiares de seguridad social curriculum afiliacioacuten sindical bancarios de salud
De personas usuarias datos de personas que acuden a ser asistidas en nuestros servicios
De visitas registros de entrada a sus edificios mediante la indicacioacuten de nombre dni o grabacioacuten de imaacutegenes
De imagen a traveacutes de caacutemaras de videovigilancia para la seguridad
Redes sociales que permiten conocer el perfil de las personas que participan en dichas redes
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
El Instituto de Acceso a la Informacioacuten Puacuteblica (IAIP) tiene facultades para velar por el cumplimiento de la normativa de proteccioacuten de datos
Puede realizar actuaciones inspectoras tanto a peticioacuten o reclamo de las personas titulares de los datos como de oficio en virtud de requerimientos de informaciones y protocolos a quienes administren las bases de datos
Imponer las sanciones que la normativa establezcaE incluso dar traslado a la autoridad judicial de aquellas
actuaciones que puedan considerarse delito
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
Cualquier informacioacuten relativa a una persona que permite identificarla o hacerla identificable por el medio en este uacuteltimo caso de cruzar diferentes datos aislados que en su conjunto permiten reconocer a una persona
La LAIP entiende por datos personales la nacionalidad domicilio patrimonio direccioacuten electroacutenica nuacutemero telefoacutenico u otra anaacuteloga
Los datos personales son muy importantes porque nos identifican y nos describen Pero tambieacuten porque pueden influir en coacutemo nos pueden tratar o evaluar gestionando cruzando o analizando la informacioacuten personal que las personas ofrecen por distintos medios
iquestQueacute son datos personales
DATOS PERSONALES
DATOS LABORALES
Empresa puacuteblica Empresa privada nivel de ingresos datos de salud de
los empleadosDATOS DE
PERSONALIDAD Orientacioacuten
sexual ideologiacutea creencias religiosas
afiliacioacuten sindical gustos
personales
DATOS DE CONSUMO
agua electricidad gas
teleacutefono suscripciones de prensa compras
DATOS BIOMEacuteTRICOS Imagen Voz Iris patrones faciales geometriacutea de la
mano firma datos geneacuteticos
huellas dactilares imagen raza
DATOS DE SALUD
Minusvaliacutea historial meacutedico
Ingresos hospitalarios
enfermedades tabaquismoalcoholismo
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
Existe una serie de datos personales que por su pertenencia a la esfera maacutes delicada de la privacidad de las personas cuentan con una proteccioacuten legal mayor
La LAIP identifica como datos personales sensibles los siguientes el credo religioacuten origen eacutetnico filiacioacuten o ideologiacuteas poliacuteticas afiliacioacuten sindical preferencias sexuales salud fiacutesica y mental situacioacuten moral y familiar y otras informaciones iacutentimas de similar naturaleza o que puedan afectar el derecho al honor a la intimidad personal y familiar y a la propia imagen
Si nuestra organizacioacuten tiene este tipo de datos personales recogidos y almacenados habraacute de adoptar especiales medidas con su tratamiento
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteBLICO
De trabajadores datos de identidad dni edad estado civil familiares de seguridad social curriculum afiliacioacuten sindical bancarios de salud
De personas usuarias datos de personas que acuden a ser asistidas en nuestros servicios
De visitas registros de entrada a sus edificios mediante la indicacioacuten de nombre dni o grabacioacuten de imaacutegenes
De imagen a traveacutes de caacutemaras de videovigilancia para la seguridad
Redes sociales que permiten conocer el perfil de las personas que participan en dichas redes
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
Cualquier informacioacuten relativa a una persona que permite identificarla o hacerla identificable por el medio en este uacuteltimo caso de cruzar diferentes datos aislados que en su conjunto permiten reconocer a una persona
La LAIP entiende por datos personales la nacionalidad domicilio patrimonio direccioacuten electroacutenica nuacutemero telefoacutenico u otra anaacuteloga
Los datos personales son muy importantes porque nos identifican y nos describen Pero tambieacuten porque pueden influir en coacutemo nos pueden tratar o evaluar gestionando cruzando o analizando la informacioacuten personal que las personas ofrecen por distintos medios
iquestQueacute son datos personales
DATOS PERSONALES
DATOS LABORALES
Empresa puacuteblica Empresa privada nivel de ingresos datos de salud de
los empleadosDATOS DE
PERSONALIDAD Orientacioacuten
sexual ideologiacutea creencias religiosas
afiliacioacuten sindical gustos
personales
DATOS DE CONSUMO
agua electricidad gas
teleacutefono suscripciones de prensa compras
DATOS BIOMEacuteTRICOS Imagen Voz Iris patrones faciales geometriacutea de la
mano firma datos geneacuteticos
huellas dactilares imagen raza
DATOS DE SALUD
Minusvaliacutea historial meacutedico
Ingresos hospitalarios
enfermedades tabaquismoalcoholismo
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
Existe una serie de datos personales que por su pertenencia a la esfera maacutes delicada de la privacidad de las personas cuentan con una proteccioacuten legal mayor
La LAIP identifica como datos personales sensibles los siguientes el credo religioacuten origen eacutetnico filiacioacuten o ideologiacuteas poliacuteticas afiliacioacuten sindical preferencias sexuales salud fiacutesica y mental situacioacuten moral y familiar y otras informaciones iacutentimas de similar naturaleza o que puedan afectar el derecho al honor a la intimidad personal y familiar y a la propia imagen
Si nuestra organizacioacuten tiene este tipo de datos personales recogidos y almacenados habraacute de adoptar especiales medidas con su tratamiento
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteBLICO
De trabajadores datos de identidad dni edad estado civil familiares de seguridad social curriculum afiliacioacuten sindical bancarios de salud
De personas usuarias datos de personas que acuden a ser asistidas en nuestros servicios
De visitas registros de entrada a sus edificios mediante la indicacioacuten de nombre dni o grabacioacuten de imaacutegenes
De imagen a traveacutes de caacutemaras de videovigilancia para la seguridad
Redes sociales que permiten conocer el perfil de las personas que participan en dichas redes
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQueacute son datos personales
DATOS PERSONALES
DATOS LABORALES
Empresa puacuteblica Empresa privada nivel de ingresos datos de salud de
los empleadosDATOS DE
PERSONALIDAD Orientacioacuten
sexual ideologiacutea creencias religiosas
afiliacioacuten sindical gustos
personales
DATOS DE CONSUMO
agua electricidad gas
teleacutefono suscripciones de prensa compras
DATOS BIOMEacuteTRICOS Imagen Voz Iris patrones faciales geometriacutea de la
mano firma datos geneacuteticos
huellas dactilares imagen raza
DATOS DE SALUD
Minusvaliacutea historial meacutedico
Ingresos hospitalarios
enfermedades tabaquismoalcoholismo
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
Existe una serie de datos personales que por su pertenencia a la esfera maacutes delicada de la privacidad de las personas cuentan con una proteccioacuten legal mayor
La LAIP identifica como datos personales sensibles los siguientes el credo religioacuten origen eacutetnico filiacioacuten o ideologiacuteas poliacuteticas afiliacioacuten sindical preferencias sexuales salud fiacutesica y mental situacioacuten moral y familiar y otras informaciones iacutentimas de similar naturaleza o que puedan afectar el derecho al honor a la intimidad personal y familiar y a la propia imagen
Si nuestra organizacioacuten tiene este tipo de datos personales recogidos y almacenados habraacute de adoptar especiales medidas con su tratamiento
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteBLICO
De trabajadores datos de identidad dni edad estado civil familiares de seguridad social curriculum afiliacioacuten sindical bancarios de salud
De personas usuarias datos de personas que acuden a ser asistidas en nuestros servicios
De visitas registros de entrada a sus edificios mediante la indicacioacuten de nombre dni o grabacioacuten de imaacutegenes
De imagen a traveacutes de caacutemaras de videovigilancia para la seguridad
Redes sociales que permiten conocer el perfil de las personas que participan en dichas redes
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
Existe una serie de datos personales que por su pertenencia a la esfera maacutes delicada de la privacidad de las personas cuentan con una proteccioacuten legal mayor
La LAIP identifica como datos personales sensibles los siguientes el credo religioacuten origen eacutetnico filiacioacuten o ideologiacuteas poliacuteticas afiliacioacuten sindical preferencias sexuales salud fiacutesica y mental situacioacuten moral y familiar y otras informaciones iacutentimas de similar naturaleza o que puedan afectar el derecho al honor a la intimidad personal y familiar y a la propia imagen
Si nuestra organizacioacuten tiene este tipo de datos personales recogidos y almacenados habraacute de adoptar especiales medidas con su tratamiento
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteBLICO
De trabajadores datos de identidad dni edad estado civil familiares de seguridad social curriculum afiliacioacuten sindical bancarios de salud
De personas usuarias datos de personas que acuden a ser asistidas en nuestros servicios
De visitas registros de entrada a sus edificios mediante la indicacioacuten de nombre dni o grabacioacuten de imaacutegenes
De imagen a traveacutes de caacutemaras de videovigilancia para la seguridad
Redes sociales que permiten conocer el perfil de las personas que participan en dichas redes
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteBLICO
De trabajadores datos de identidad dni edad estado civil familiares de seguridad social curriculum afiliacioacuten sindical bancarios de salud
De personas usuarias datos de personas que acuden a ser asistidas en nuestros servicios
De visitas registros de entrada a sus edificios mediante la indicacioacuten de nombre dni o grabacioacuten de imaacutegenes
De imagen a traveacutes de caacutemaras de videovigilancia para la seguridad
Redes sociales que permiten conocer el perfil de las personas que participan en dichas redes
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
Verbal atencioacuten por
viacutea telefoacutenica o presencial
Documental
Contratos curriculums
facturas formularios o impresos de
alta
Caacutemaras captacioacuten de imaacutegenes
Electroacutenico website
MailApp
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
Es el conjunto organizado de datos de caraacutecter personal cualquiera que sea la forma o modalidad de su creacioacuten almacenamiento organizacioacuten y acceso
Esta consideracioacuten afecta tanto a los datos tratados electroacutenicamente (bases de datos informaacuteticas) como a los almacenados en papel (archivadores organizados por grupos de personas personas usuarias contactos trabajadores y trabajadoras personas demandantes de empleohellip) ordenados en base a criterios identificativos
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
Cualquier operacioacuten y procedimiento teacutecnico de caraacutecter automatizado o no que permita su recogida grabacioacuten conservacioacuten elaboracioacuten modificacioacuten bloqueo y cancelacioacuten asiacute como las comunicaciones cesiones o transferencias de esos datos
Soacutelo se podraacuten tratar datos personales que sean adecuados pertinentes y no excesivos en relacioacuten con finalidades liacutecitas debiendo eliminarse los datos que hayan dejado de reunir estas caracteriacutesticas
Las operaciones de tratamiento maacutes habituales son La recogida organizada de datos La utilizacioacuten para la actividad propia del ente puacuteblico La comunicacioacuten o cesioacuten de los datos a otras personas empresas o
entidades La conservacioacuten y actualizacioacuten de los datos La cancelacioacuten de datos
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE
DATOS PERSONALESLos sujetos que pueden intervenir en el
tratamiento de datos personales son 31 El responsable de las bases de datos
personales2 El afectado o interesado (la persona)3 El encargado del tratamiento
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
bull Cada ente puacuteblico en tanto es quien decide sobre el contenido y finalidad de los datos personales
Estaraacute obligado a cumplir con los deberes que le impone la normativa de inscripcioacuten de las bases de datos en el registro correspondiente informar a las personas recabar su consentimiento permitir el ejercicio de derechos a las personas asegurar el secreto y confidencialidad de los datos y garantizar la seguridad de los mismos asiacute como verificar perioacutedicamente la regularidad de su cumplimiento
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
Es la persona titular de los datos o informacioacuten personal que sean objeto del tratamiento
En tanto estamos ante un derecho vinculado a la persona fiacutesica debemos entender por tal al afectado o interesado a que se refiere la normativa de proteccioacuten de datos personales
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
Es la persona fiacutesica o juriacutedica que para prestar un servicio al ente puacuteblico responsable de los datos personales requiere hacer uso de sus bases de datos personales
Consiste en permitir y facilitar a un tercero ajeno a la organizacioacuten el acceso y el tratamiento de datos personales con la finalidad exclusiva de la prestacioacuten de un servicio encargado por la organizacioacuten
La realizacioacuten de tratamientos por cuenta de terceros debe estar regulada en un contrato al que la Ley establece un contenido expreso
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE
SERVICIOSGestioacuten de aplicaciones informaacuteticasCaacutemaras de videovigilanciaDestruccioacuten de documentacioacutenEntidades financieras para el cobro de
noacuteminasServicios juriacutedicos externosLimpiezaMantenimiento de instalaciones
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO
DE DATOS PERSONALES
OBLIGACIONES PREVIAS AL TRATAMIENTOOBLIGACIONES DURANTE EL TRATAMIENTOOBLIGACIONES FINALIZADO EL
TRATAMIENTO
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS
PERSONALES Cada ente puacuteblico debe realizar un anaacutelisis del ciclo de vida de los datos
personales manejados para identificar Queacute datos personales necesitamos a recoger y para queacute finalidad Coacutemo se recogeraacuten teleacutefono telemaacuteticamente formularios en papel grabacioacuten de imaacutegenes Queacute bases de datos hay que crear modificar o suprimir Quieacuten los manejaraacute persona departamentos hellip A quieacuten se cederaacuten Si se haraacuten transferencias internacionales de datos personales Coacutemo se conservaraacuten Cuaacutendo se cancelaraacuten
Crear la base de datos correspondiente Notificarlo al IAIP Informar a las personas fiacutesicas en el momento previo a la recogida de sus
datos personales
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
La informacioacuten a la persona titular de los datos personales debe facilitarse en el momento de recabar los datos personales
Comprende los siguientes aspectos La existencia de una base de datos concretaLa finalidad para la que se recogen los datosLa cesioacuten o comunicacioacuten de esos datos y su finalidadEl caraacutecter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datosLa identificacioacuten y direccioacuten postal yo electroacutenica del
responsable de la base de datosLos derechos que tiene la persona
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
hellip si los datos van a ser CEDIDOS
Es cesioacuten o comunicacioacuten como toda revelacioacuten de datos realizada a una persona distinta de la titular de esos datos
Si los datos van a ser cedidos debe ofrecerse informacioacuten inequiacutevoca a la persona titular de la informacioacuten personal sobre la finalidad de la cesioacuten y el tipo de actividad desarrollada por el cesionario
No son vaacutelidas referencias geneacutericas que no permitan concretar la finalidad
Toda comunicacioacuten de datos a terceras personas fiacutesicas o juriacutedicas ajenas a la persona titular de la informacioacuten o ajenas al ente puacuteblico que las posee legiacutetimamente debe ser autorizada por la persona titular de los datos o encontrarse dicha comunicacioacuten habilitada por una Ley
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES1 OBTENCIOacuteN DEL CONSENTIMIENTO2 LICITUD3 CALIDAD4 EXACTITUD5 SEGURIDAD6 DEBER DE GUARDAR SECRETO7 GARANTIacuteA DE EJERCICIO DE DERECHOS
PERSONALES
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
1 OBTENCION DEL CONSENTIMIENTO
El consentimiento estaacute iacutentimamente ligado a la informacioacuten a la persona porque no puede consentir aquello que no conoce De ese modo el consentimiento legitima el tratamiento posterior de los datos personales
El consentimiento ha de ser libre informado e inequiacutevoco y como regla general seraacute preciso siempre salvo que una Ley lo excluya
Asiacute el consentimiento no seraacute necesario cuando el tratamiento de datos personales se refiera al mantenimiento de una relacioacuten contractual o administrativa cuando el tratamiento de los datos tenga por finalidad proteger un intereacutes vital de la persona o cuando los datos figuren en fuentes de acceso puacuteblico
Una vez prestado el consentimiento la persona tiene la posibilidad de revocarlo revocacioacuten que impediraacute que se sigan tratando los datos personales si bien no podraacute evitar los efectos que haya tenido el tratamiento hasta el momento de la revocacioacuten
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
2 LICITUD
Este principio exige que la recogida y tratamiento de datos personales se efectuacutee conforme al contenido de las Leyes
Asimismo los datos personales deben recogerse con fines determinados expresos y legiacutetimos
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Soacutelo se podraacuten solicitar de la persona los datos que sean estrictamente necesarios o proporcionales para la finalidad para la cual se recogen
Esa finalidad debe estar descrita en el momento de creacioacuten de la base de datos personales correspondiente y no puede utilizarse para ninguna otra no prevista
Deben cancelarse cuando haya dejado de ser necesarios para la finalidad para la que se recogieron
La cancelacioacuten implicaraacute el bloqueo de los datos consistente en la identificacioacuten y reserva de los mismos con el fin de impedir su tratamiento excepto para el cumplimiento de obligaciones legales transcurrido el cual deberaacuten suprimirse
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
4 EXACTITUD
La informacioacuten personal debe estar actualizada y ser exacta
Deberaacuten establecerse mecanismos de actualizacioacuten y correccioacuten efectiva de la informacioacuten personal incluso de oficio
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
5 SEGURIDAD
Es el deber que tiene el ente puacuteblico de adoptar las medidas de iacutendole teacutecnica y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteracioacuten peacuterdida o tratamiento o acceso no autorizados
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
6 SECRETO Y CONFIDENCIALIDAD
Los servidores puacuteblicos y quienes se relacionan con la Administracioacuten utilizando datos personales para la realizacioacuten del servicio estaacuten obligados al secreto profesional
Estas obligaciones subsisten auacuten despueacutes de cancelados los datos y despueacutes de finalizar sus relaciones con la organizacioacuten
Es por ello que debe incluirse una claacuteusula de confidencialidad para los trabajadores y trabajadoras mientras que las obligaciones con servicios externalizados ha de plasmarse en un contrato de encargo de tratamiento
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN y SUPRESIOacuteNELIMINACIOacuteN
La LAIP reconoce el derecho de todas las personas a ejercer los derechos de acceso correccioacuten y supresioacuten o eliminacioacuten sobre sus datos
La posibilidad de ejercer estos derechos dota a las personas de una facultad real de disposicioacuten sobre sus datos personales porque permite consultarlos revisarlos y cancelarlos en los casos en que sean falsos inexactos o excesivos
La organizacioacuten o ente puacuteblico debe contestar las solicitudes que las personas le dirijan en ejercicio de estos derechos y facilitarles los formularios de solicitud
Ademaacutes debe adoptar las medidas oportunas para garantizar que su personal esteacute en condiciones de informar a las personas del procedimiento para el ejercicio de estos derechos asiacute como con la capacidad para responder en tiempo y forma
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
EL DERECHO DE ACCESO
El derecho de acceso permite a las personas solicitar y obtener informacioacuten del ente puacuteblico respecto de los datos personales la finalidad para la que han sido recabados y la consulta directa de documentos que contengan esa informacioacuten
Deberaacute responderse en un plazo de diez diacuteas haacutebiles contados a partir de la presentacioacuten de la solicitud
La respuesta contendraacute la informacioacuten correspondiente o la comunicacioacuten de que ese registro o sistema de datos personales no contiene los requeridos por el solicitante
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
EL DERECHO DE RECTIFICACIOacuteN
La persona interesada puede solicitar a la organizacioacuten que corrija o complete uno o varios de sus datos que esteacuten almacenados de forma erroacutenea o incompleta
Por ejemplo la persona tiene derecho a que actualicemos su cambio de domicilio
Deberaacute entregarse a la persona solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud una comunicacioacuten que haga constar las modificaciones o bien le informaraacute de manera motivada la razoacuten por la cual no procedieron las reformas
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
EL DERECHO DE SUPRESIOacuteN La persona titular de datos personales puede solicitar que sus datos
sean suprimidos o cancelados por ser inadecuados o excesivos revocando el consentimiento que en su diacutea otorgoacute para que fueran incorporados
Son inadecuados cuando no guardan relacioacuten con la finalidad para la que fueron recabados o si dejaron de ser necesarios para dicha finalidad
Son excesivos si los datos obtenidos son maacutes de los estrictamente necesarios en relacioacuten a la finalidad para la que se recogieron
Tambieacuten procede esta eliminacioacuten cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley
Deberaacute entregarse al solicitante en un plazo de treinta diacuteas haacutebiles desde la presentacioacuten de la solicitud aceptando o rechazando motivadamente la supresioacuten o cancelacioacuten
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
RECURSOTranscurrido el plazo sin que se responda a la
peticioacuten o la respuesta sea insatisfactoria la persona podraacute interponer recurso de apelacioacuten ante el Instituto o ante el Oficial de Informacioacuten
En caso de desestimacioacuten los particulares pueden interponer recurso ante la Sala de lo Contencioso-Administrativo de la Corte Suprema de Justicia
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA
El Instituto es la autoridad de control encargada de velar por el adecuado cumplimiento de la legislacioacuten sobre proteccioacuten de datos
Es un oacutergano autoacutenomo creado por la LAIP que cuenta con personalidad juriacutedica y patrimonio propios
Posee la atribucioacuten de establecer poliacuteticas y lineamientos de observancia general para el tratamiento y proteccioacuten de los datos personales que esteacuten en posesioacuten de los entes puacuteblicos asiacute como expedir aquellas normas que resulten necesarias para su cumplimiento
Es el responsable de llevar el registro de los sistemas de datos personales en posesioacuten de los entes puacuteblicos que deben notificar al IAIP la creacioacuten modificacioacuten o supresioacuten de sistemas de de datos personales
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE
LOS DATOS PERSONALES Los datos personales deben cancelarse cuando dejen de
ser necesarios o pertinentes para la finalidad para la que se recogieron salvo que se disocien impidiendo la identificacioacuten de la persona
Esos datos deben conservarse bloqueados a disposicioacuten de las autoridades asiacute como durante el tiempo en que se pueda exigir alguna responsabilidad derivada de una relacioacuten preexistente tras lo cual deben suprimirse
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
II ordf PARTE
SITUACIONES Y CUESTIONES
PRAacuteCTICAS
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PLANTEAMIENTO
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
DISCREET INDUSTRIES Es una empresa financiera que celebra su reunioacuten de direccioacuten
quincenal en la que estaacuten presentes Cormack Director General Fiona Directora financiera Derek Jefe de Ventas Helen Directora de Recursos Humanos Joanne Directora de Tecnologiacuteas de la Informacioacuten En la uacuteltima reunioacuten Cormack pidioacute a Joanne reciente fichaje de
la compantildeiacutea que preparara un informe sobre el grado de cumplimiento de la empresa en materia de proteccioacuten de datos en 8 escenarios Durante su presentacioacuten ella expondraacute los principios de la proteccioacuten de datos y los aplicaraacute a los problemas que ha descubierto
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
VIDEO
>
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
1 Obtener y procesar la informacioacuten de manera leal y liacutecita
informando y solicitando el consentimiento
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
SITUACIOacuteN 1
Joanne descubre que Derek se ha traiacutedo a su trabajo actual una copia de la base de datos de clientes de su anterior empleo sin haber pedido el permiso a los individuos incluidos en dicha base de datos
Visionado
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
VIDEO
>
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
1iquestQueacute tipo de informacioacuten personal guarda su organizacioacuten
PersonalPersonas usuariasImaacutegenes Grabaciones de audioDatos especialmente protegidosOtros
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
2 iquestSu organizacioacuten informa a las personas de coacutemo se utilizaraacute la informacioacuten que les ha sido recabada
- Siacute les informamos con ocasioacuten de la recogida de una forma que la persona la entendioacute correctamente
- No tenemos por costumbre informar de nuestra forma de actuar y trabajar
- Desconociacutea que tuviera la obligacioacuten de ofrecer esa informacioacuten
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
3 iquestHay en su organizacioacuten alguien que se responsabilice del cumplimiento de las obligaciones impuestas por la normativa de proteccioacuten de datos
- No lo seacute desconociacutea que esta fuera una responsabilidad de la empresa
- Siacute tenemos soporte especializado en esta materia que comprueba cada cierto tiempo para comprobar coacutemo se hacen las cosas podemos preguntarles cuando tenemos alguna duda y nos sugieren formas de trabajar maacutes eficientes y respetuosas con la ley
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
CONCLUSIONESbull Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar sus datos personales quieacuten es el responsable en queacute fichero se guardan si se van a ceder y coacutemo pueden ejercitar sus derechos respecto al tratamiento de sus datos personales
bull Es preciso obtener el consentimiento de las personas cuyos datos recogemos y utilizamos asiacute como para ceder esos datos a terceros
bull Nuestros servidores puacuteblicos deben conocer estas obligaciones y llevarlas a la praacutectica
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
CONCLUSIONESbull Las obligaciones impuestas por la
normativa de proteccioacuten de datos constituyen un imperativo legal
bull El elemento esencial para que la institucioacuten cumpla con las obligaciones legales en esta materia es la formacioacuten del personal
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
2 Guardar informacioacuten soacutelo para los fines expliacutecitos y legales para los que
se solicitoacute
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
SITUACIOacuteN 2
Helen se estaacute planteando hacer de forma regular algunos controles aleatorios de las imaacutegenes del circuito cerrado para cotejarlas con los registros de control horario (la empresa tiene horario flexible)
Visionado
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
VIDEO
>
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA1iquestCuaacutel es el principal objetivo de recopilar
cada tipo de informacioacuten- La finalidad es la que interese a la organizacioacuten
en cada momento ya que para eso tenemos los datos
- Tener disponible toda la informacioacuten de mi organizacioacuten por todos los medios que tengo a mi disposicioacuten
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA2 iquestEstaacuten las personas de su organizacioacuten
al corriente del uso que se da a la informacioacuten personal de la que son responsables
- No no hemos formado al personal en estas cuestiones
- No tengo claro ni siquiera que sepan que tienen una responsabilidad con los datos que manejan
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
3 iquestEs usted consciente de que las personas tienen derecho a ser informadas de la finalidad para la que usted guarda sus datos
- No teniacutea ni idea de que las personas podiacutean poner alguna pega a que tengamos sus datos
- Claro esto son los derechos personales relativos al control de la informacioacuten que tiene todo el mundo
- iquestMe quiere decir que a cada persona cuyos datos recojo por uno u otro motivo le tengo que informar acerca de la finalidad para la cuaacutel los recojo
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
CONCLUSIONES
bull Es preciso informar a las personas de la finalidad para la que se van a utilizar sus datos personales
bull No podemos utilizar los datos personales para finalidad distinta de aquella sobre la que se informoacute Si pretendemos hacerlo debemos solicitar autorizacioacuten
bull Nuestros servidores puacuteblicos deben conocer que tienen la obligacioacuten de respetar la finalidad que ha sido declarada en el momento de su recogida
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
3 Conservar la informacioacuten que tenga sobre la gente de forma segura y protegida guardando el deber de
secreto
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
SITUACIOacuteN 3Durante el debate sobre el uso de las imaacutegenes
obtenidas por el circuito cerrado de televisioacuten sale a la luz que Derek tiene acceso informaacutetico a los registros personales de los empleados informacioacuten que no necesita para desarrollar su trabajo
Las medidas de seguridad relacionadas con la destruccioacuten de registros manuales tambieacuten quedan en entredicho tras descubrirse listados de noacuteminas en un contenedor de escombros fuera de la oficina
Visionado
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
VIDEO
>
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
1iquestConoce usted queacute informacioacuten personal se maneja en su organizacioacuten y queacute nivel de seguridad se le aplica
- No yo no conozco todo esto y no seacute quieacuten se ocupa de ello
- Supongo que informacioacuten de todo tipo- Desconociacutea que hubiera distintos niveles de
importancia en la informacioacuten ni a queacute se debe- Creo que la organizacioacuten deberiacutea conocer esta
cuestioacuten y explicarla en detalle al personal iquestno cree
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA2 El acceso a la informacioacuten iquestestaacute limitado a
personal autorizado y solamente en funcioacuten de lo que necesiten saber
- Ni idea creo que todos podemos ver toda la informacioacuten pero no estoy segura
- Yo soy administrativo y soacutelo veo lo que necesito dentro de mi trabajo habitual como por ejemplo para enviar correspondencia a los ciudadanos y ciudadanas del servicio
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
3 iquestCuentan sus servidores con proteccioacuten contra accesos no autorizados
- Pues la verdad no lo seacute- Supongo que siacute pero nadie nos ha dicho nunca
nada- Eso lo lleva el departamento de informaacutetica de
modo que supongo que estos temas estaraacuten controlados
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
4 iquestQueacute medidas aplican ustedes para deshacerse de los residuos de papel listados agendas hellip
- Pues los tiro a la basura se ocupan los de la limpieza iquestno
- Yo tengo mucho cuidado los papeles que tienen alguna informacioacuten importante los tiro al reciclado
- Tenemos una pequentildea destructora de papel pero nadie la usa
- Pues siacute hemos contratado hace poco a una empresa que viene a recogerlo todo y lo destruye
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
5 iquestHay Documento de Seguridad de la informacioacuten
- Pues si lo hay yo no lo conozco- Creo que siacute pero realmente no lo he visto- Siacute estaacute en el archivo- Siacute nos hicieron una revisioacuten del documento de
seguridad y un simulacro hace un par de meses
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
CONCLUSIONESbull La institucioacuten debe garantizar la seguridad
de los datos personales que maneja frente a su alteracioacuten peacuterdida fuga tratamiento o acceso no autorizado valorando los riesgos a que esteacuten expuestos ya provengan de la accioacuten humana o del medio fiacutesico o natural
bull No se registraraacuten datos personales en bases de datos que no reuacutenan las condiciones de seguridad que la Ley establece
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
4 Utilizar y comunicar informacioacuten soacutelo de manera compatible con los
fines para los que se recogioacute
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
SITUACIOacuteN 4 Fiona se reuacutene con una persona airada que ha llamado a la
oficina para quejarse La reclamante habiacutea enviado previamente su curriacuteculo profesional a Discreet Industries
Antes de que la empresa se hubiera planteado hacerle una oferta laboral y sin su consentimiento Fiona se puso en contacto con el actual empleador para pedirle referencias
Su empleador desconociacutea que la reclamante estaba buscando un nuevo empleo y la relacioacuten entre ambos se ha deteriorado
La reclamante va a presentar una queja a la Autoridad Nacional de Proteccioacuten de Datos
Visionado
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
VIDEO
>
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
1iquestA quieacuten revela usted informacioacuten personal- No tenemos una poliacutetica establecida de
comunicacioacuten de la informacioacuten- Cuando alguien llama por teleacutefono y se identifica
le damos la informacioacuten que pide tanto suya como de terceras personas Es normal es un ciudadano y debemos atenderle
- Tenemos un protocolo praacutectico de tratamiento de datos personales redactado por especialistas que los revisan anualmente
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
2 iquestRemite datos personales a otras organizaciones o personas ubicadas en el extranjero
- No nuestro organismo soacutelo se ubica en territorio de El Salvador
- Si es frecuente que enviemos datos de la ciudadaniacutea a terceros paiacuteses en cumplimiento de las exigencias legales
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA3 iquestTiene su institucioacuten suscrito un
contrato de encargo de tratamiento con organizaciones o empresas externas que pudieran manejar o tener acceso a datos personales
- No seacute queacute es ese contrato- Si utilizamos un modelo para todos esos
encargos de servicios
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
CONCLUSIONESbull Como principio general no es posible la cesioacuten de los
datos personales a terceros sin el consentimiento expreso de la persona titular de los datos
bull Para que la cesioacuten sea vaacutelida debemos informar previamente indicando la finalidad a la que se destinaraacuten los datos y el tipo de actividad desarrollada por el cesionario
bull Debemos garantizar que el particular pueda revocar su consentimiento mediante un procedimiento sencillo y gratuito
bull En el caso de utilizar encargados de tratamiento deberaacute formalizarse un contrato especiacutefico
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
5 Asegurar que la informacioacuten es adecuada pertinente y no
excesiva
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
SITUACIOacuteN 5Al examinar los tipos de informacioacuten que se
guardan en los archivos de personal Joanne se da cuenta de que se registran las creencias religiosas del personal sin motivo aparente
Seguacuten Cormack se trata de algo que se remonta a los oriacutegenes de la empresa
Visionado
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
VIDEO
>
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
1iquestCree que toda la informacioacuten que su organizacioacuten guarda es pertinente y necesaria para sus propoacutesitos
- Nunca hemos realizado una verificacioacuten de si es asiacute simplemente guardamos todo
- Siacute por supuesto guardamos todo lo que nos puede servir para desarrollar mejor nuestro servicio en beneficio de la ciudadaniacutea
- Siacute analizamos la procedencia de recoger la informacioacuten desde que el momento inicial y soacutelo la guardamos el tiempo estrictamente necesario
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
2 iquestCuenta en su organizacioacuten con criterios especiacuteficos para juzgar queacute es adecuado pertinente y no excesivo
- Pues la verdad es que no nos han ensentildeado a hacer esta seleccioacuten lo hacemos un poco a ojo
- Si contamos con protocolos establecidos por especialistas que son revisados anualmente por estos estamos tranquilos por ello ya que las repercusiones sancionadoras y de imagen ante la opinioacuten puacuteblica
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA3 iquestNecesita realmente tener toda esta
informacioacuten personal- Bueno nunca se sabe- Siacute queremos tener todo lo que podamos de
nuestros usuarias- Pues analizando lo que dice recogemos y
guardamos maacutes informacioacuten de la que realmente necesitamos
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
CONCLUSIONES
bull Los datos deben ser adecuados pertinentes y no excesivos en relacioacuten con el aacutembito y la finalidad para la que se han recogido
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
6 Tenga la informacioacutenexacta completa y actualizada
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
SITUACIOacuteN 6A un cliente Mr Mullins le fue denegado un
creacutedito al realizar una compra a uno de los agentes de la empresa debido a que estaba inscrito en el registro de morosos
Posteriormente Joanne descubrioacute que aquella inscripcioacuten de Mr Mullins era erroacutenea los bienes adquiridos y presuntamente no pagados habiacutean sido devueltos por defectuosos
Visionado
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
VIDEO
>
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA1 iquestSu organizacioacuten tiene implantados
procedimientos dirigidos a asegurarse de que la informacioacuten estaacute actualizada
- No he oiacutedo hablar de ello en los seis antildeos que llevo en la organizacioacuten
- En mi anterior organizacioacuten siacute que teniacuteamos mucho trabajo con las comprobaciones pero actualmente no lo hacemos
- Siacute se encargan los de calidad y creo que hacen comprobaciones perioacutedicas con los titulares de los datos
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA2 iquestSu organizacioacuten realiza revisiones y auditorias
perioacutedicas de la informacioacuten que tiene guardada- Nada de eso no hemos hecho nada de eso nunca- Siacute tengo un vago recuerdo de haber hecho algo en
alguna ocasioacuten- Hemos hecho alguna revisioacuten aleatoria pero sin un
procedimiento claro para ello- Realizamos revisiones del Documento de Seguridad
protocolos y tambieacuten Auditoriacutea especiacutefica en proteccioacuten de datos conforme creo que marca la Ley a traveacutes de especialistas externos
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
3 iquestQueacute hace el personal cuando tiene constancia de la existencia de inexactitudes en los datos personales que posee
- Nada si la persona no me pide que lo cambie las dejo asiacute
- Echamos mano del protocolo especiacutefico para el tratamiento de datos personales que preveacute los periacuteodos y la forma de actualizar la informacioacuten
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
CONCLUSIONES
- Debemos rectificar o cancelar los datos si la persona nos lo comunica o si tenemos conocimiento de ello por cualquier otro medio
- Debemos efectuar comprobaciones para lo que necesitamos establecer procedimientos de revisioacuten de la informacioacuten perioacutedicos y aleatorios
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
7 No conservar la informacioacuten maacutes allaacute del tiempo necesario para su
propoacutesito
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
SITUACIOacuteN 7Al examinar el historial de Mr Mullins Joanne observoacute
que auacuten constaban los detalles de su cuenta bancariaUn examen maacutes a fondo reveloacute que la empresa
conserva los detalles bancarios de los clientes indefinidamente incluso cuando ya no tiene ninguna utilidad hacerlo
Helen indica entonces que ella tuvo problemas en el pasado por el hecho de que los detalles de su tarjeta de creacutedito fueran retenidos indefinidamente al comprar entradas para espectaacuteculos
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
1iquestTiene su organizacioacuten una poliacutetica definida sobre cuaacutento tiempo conservar la informacioacuten
- Bueno pues todo el tiempo que podamos- En principio mientras atendamos a la persona
usuaria de nuestro servicio- Soacutelo borramos lo que nos piden expresamente- Si contamos con un protocolo de tratamiento de
datos personales que lo recoge
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA2 iquestEstaacute usted al corriente de los requisitos
legales que pueda haber para conservarretener ciertos tipos de datos (Por ejemplo registros fiscales o laborales registros meacutedicos transacciones financierashellip)
Desconociacutea que hubiera un liacutemite en el tiempo de conservacioacuten de los datos
Si cada departamento debe ser conocedor de los periacuteodos establecidos legalmente en cada normativa sectorial
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
3 iquestSu organizacioacuten depura con regularidad sus sistemas de archivo sean estos manuales o electroacutenicos
Seacute que deberiacuteamos hacerlo porque lleva a confusioacuten tener tanta informacioacuten en ocasiones duplicada pero nunca vemos el momento
Si lo hacemos con motivo de los simulacros o puesta en praacutectica del documento de seguridad una vez al antildeo
No lo seacute supongo que se encargaraacuten de ello los informaacuteticos
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
CONCLUSIONESbull Se deben cancelar los datos cuando hayan dejado
de ser necesariosbull En algunas ocasiones existe obligacioacuten de
conservar los datos como ocurre cuando han de cumplirse obligaciones fiscales que requieren conservacioacuten documental o durante el tiempo en que pueda exigirse alguacuten tipo de responsabilidad derivada de la relacioacuten que une a la organizacioacuten con las personas
bull En este caso los datos se bloquearaacuten de forma que impida el acceso por parte del personal limitaacutendose a una persona de maacutexima responsabilidad acceso que tendraacute lugar en virtud de requerimiento judicial o administrativo
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
8 Dar una copia de sus datos personales si lo pide la persona a la
que se refieren
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
SITUACIOacuteN 8Despueacutes de la conversacioacuten sobre la informacioacuten
inexacta a raiacutez del historial de Mr Mullins Cormac pregunta queacute es una ldquosolicitud de accesordquo
Joanne explica que Mr Mullins tiene derecho si lo solicita a obtener una copia de cualquier informacioacuten que tengan sobre eacutel
Visionado
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
VIDEO
>
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
PREGUNTA
1iquestTiene su organizacioacuten alguacuten procedimiento para tramitar las solicitudes de ejercicio de derechos personales
Desconociacutea hasta este momento de queacute se trata No facilitamos esa informacioacuten a las personas porque es
informacioacuten que pertenece a la organizacioacuten Si tenemos un protocolo para ello pero es complicado de
atender y no disponemos de personal especializado Por supuesto nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello acudiendo a especialistas para su resolucioacuten
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
CONCLUSIONESbull La organizacioacuten debe garantizar el ejercicio de los derechos para
que las personas puedan saber queacute informacioacuten personal estamos tratando de quieacuten o de doacutende se obtuvieron los datos y a quieacuten han sido cedidos modificar o rectificar errores cancelar datos que no se deberiacutean estar tratando u oponerse a tratamientos de datos personales realizados sin su consentimiento
bull El ejercicio de estos derechos debe ser sencillo y gratuito no puede suponer ingreso adicional alguno para el responsable y aunque eacuteste disponga de un procedimiento propio para ello no puede desatender una solicitud que debidamente presentada utilice otro medio
- Debemos atender la peticioacuten incluso cuando no tengamos datos personales del solicitante y garantizar que la organizacioacuten sea capaz de informar sobre coacutemo ejercer los derechos de disponer de formularios y de responder en tiempo y forma
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
RECAPITULEMOS
VIDEO
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS
II ordf PARTE
Slide 37
DISCREET INDUSTRIES
VIDEO
Slide 40
SITUACIOacuteN 1
VIDEO (2)
PREGUNTA
PREGUNTA (2)
PREGUNTA (3)
CONCLUSIONES
CONCLUSIONES (2)
Slide 48
SITUACIOacuteN 2
VIDEO (3)
PREGUNTA (4)
PREGUNTA (5)
PREGUNTA (6)
CONCLUSIONES (3)
Slide 55
SITUACIOacuteN 3
VIDEO (4)
PREGUNTA (7)
PREGUNTA (8)
PREGUNTA (9)
PREGUNTA (10)
PREGUNTA (11)
CONCLUSIONES (4)
Slide 64
SITUACIOacuteN 4
VIDEO (5)
PREGUNTA (12)
PREGUNTA (13)
PREGUNTA (14)
CONCLUSIONES (5)
Slide 71
SITUACIOacuteN 5
VIDEO (6)
PREGUNTA (15)
PREGUNTA (16)
PREGUNTA (17)
CONCLUSIONES (6)
Slide 78
SITUACIOacuteN 6
VIDEO (7)
PREGUNTA (18)
PREGUNTA (19)
PREGUNTA (20)
CONCLUSIONES (7)
Slide 85
SITUACIOacuteN 7
VIDEO (8)
PREGUNTA (21)
PREGUNTA (22)
PREGUNTA (23)
CONCLUSIONES (8)
Slide 92
SITUACIOacuteN 8
VIDEO (9)
PREGUNTA (24)
CONCLUSIONES (9)
RECAPITULEMOS
Slide 98
>
PROTECCIOacuteN DE DATOS PERSONALES EL SALVADOR 22-24 JUNIO 2015
iquestQUEacute ES LA PROTECCIOacuteN DE DATOS DE CARAacuteCTER PERSONAL
LA LEY DE ACCESO A LA INFORMACIOacuteN PUacuteBLICA DE EL SALVADOR
iquestA QUEacute NOS OBLIGA COMO SERVIDORES PUacuteBLICOS
iquestQUEacute CONSECUENCIAS PUEDE TENER SU INCUMPLIMIENTO
iquestQUEacute SON LOS DATOS DE CARAacuteCTER PERSONAL
iquestQueacute son datos personales
iquestQUEacute SON DATOS ESPECIALMENTE PROTEGIDOS
iquestQUEacute DATOS PERSONALES SE MANEJAN HABITUALMENTE EL EL SECTOR PUacuteB
iquestCOacuteMO SE RECABAN LOS DATOS PERSONALES
iquestQUEacute SON LAS BASES DE DATOS PERSONALES
iquestQUEacute SE ENTIENDE POR TRATAMIENTO DE DATOS PERSONALES
iquestQUEacute DIFERENTES PERSONAS INTERVIENEN EN EL TRATAMIENTO DE DATOS
iquestQUIEacuteN ES EL RESPONSABLE EN MATERIA DE PROTECCIOacuteN DE DATOS
iquestQUIEacuteN ES EL AFECTADO O INTERESADO
iquestQUIEacuteN ES EL ENCARGADO DEL TRATAMIENTO
iquestCUAacuteLES SON LOS SUPUESTOS HABITUALES DE ENCARGOS DE SERVICIOS
iquestQUEacute OBLIGACIONES GENERA PARA LA ORGANIZACIOacuteN EL USO DE DATOS P
I OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS PERSONALES
DEBER DE INFORMACIOacuteN
hellip si los datos van a ser CEDIDOS
II PRINCIPIOS Y OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DAT
1 OBTENCION DEL CONSENTIMIENTO
2 LICITUD
3 CALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
4 EXACTITUD
5 SEGURIDAD
6 SECRETO Y CONFIDENCIALIDAD
7 EJERCICIO DE LOS DERECHOS PERSONALES ACCESO RECTIFICACIOacuteN
EL DERECHO DE ACCESO
EL DERECHO DE RECTIFICACIOacuteN
EL DERECHO DE SUPRESIOacuteN
RECURSO
6 DEBER DE COLABORACIOacuteN CON EL INSTITUTO DE ACCESO A LA INFORM
III PRINCIPIOS Y OBLIGACIONES FINALIZADO EL TRATAMIENTO DE LOS