Ley Orgánica de Protección de Datos

advertisement
El Grupo SEYDE-ABOGADOS (Consultores y Juristas
Especializados) es un grupo que cuenta con un Departamento
Especializado en Derecho de las Nuevas Tecnologías, entre
los que se encuentran los temas de Protección de Datos,
Firma y Comercio Electrónico, así como de Delitos
Informáticos. En ese sentido, ha elaborado la presente
documentación sobre las leyes de “Protección de Datos de
Carácter Personal” y de “Servicios de la Sociedad de la
Información y de Comercio Electrónico”
Aproximación a la LEY ORGÁNICA DE
PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL
Introducción.
Varios ejemplos prácticos sobre la tenencia de datos de carácter
personal.
- Primera lectura del objeto de la Ley y sus consecuencias.
Situación actual de las empresas en relación a las exigencias
previstas en la
LOPD.
- Marco jurídico.
- Definiciones y conceptos básicos.
- La ley. Actuaciones que se deben de hacer en las empresas.
- Sanciones.
- El Reglamento. Medidas de seguridad. Actuaciones.
Breve comentario sobre la Ley de Servicios de la Sociedad de la
Información
y del Comercio Electrónico. LSSICE.
Fases de adecuación de la empresa: Legitimación. Protección.
Legalización.
Gestión.
-
Protección de Datos de Carácter
Personal
Introducción
La ley que regula la protección de datos es la Ley Orgánica 15/1999,
de 13 de diciembre de Protección de Datos de Carácter Personal,
que fue aprobada con el fin de proteger y garantizar el tratamiento de
datos personales, las libertades públicas y los derechos fundamentales
de las personas; especialmente los que atañen a la intimidad personal y
familiar de los ciudadanos. Esta ley supone nuevas obligaciones para
las empresas que deben actuar correctamente frente a los afectados,
personas titulares de los datos.
Un ejemplo...
 Dentista
Dispone de una base de datos informática donde tiene registrado los
datos de sus pacientes:

Datos administrativos como son: la dirección, forma de pago y
similares.

Datos de carácter médico: máximo nivel de protección. Nuestro
dentista debería:

Cifrar los datos almacenados en el ordenador.

La enfermera que nos atiende en recepción no podría dejar el
ordenador 'accesible' cuando nos acompaña a la sala de
espera.

y el servidor debería estar guardado bajo llave.
 El propietario de los datos no es el dentista sino que cada paciente
es propietario de sus datos.

El paciente da el permiso al dentista para que almacene los datos
en el soporte informático.

Esta condición de depositario establece una serie de obligaciones:

La obligación de velar por que nadie pueda acceder a esos
datos.

Si nuestro dentista no realiza copias de seguridad y pierde los
datos, los pacientes pueden exigirle responsabilidades por su
falta de celo en la conservación de nuestros datos.
Una primera lectura
 El objeto de la Ley es:

El PARTICULAR

Garantizar y proteger el tratamiento y almacenamiento de datos
informatizados por parte de terceros.

Las libertades y derechos fundamentales de las PERSONAS
FÍSICAS, especialmente su honor e intimidad.
 TODAS las EMPRESAS están en el ámbito de esta normativa.
 Tanto ficheros privados como públicos.
Marco Jurídico
 LORTAD, 1992, ya derogada.
 DE 1995/46/CE relativa a la protección de las personas físicas en el
tratamiento de datos y la libre circulación de éstos.

Ley orgánica 15/1999 de 13 de diciembre, de Protección de Datos
de Carácter Personal, LOPD.

Real Decreto 994/1999 de 11 de junio, del Reglamento de
Medidas de Seguridad de los ficheros automatizados que
contengan datos de carácter personal.
Situación actual
 Incumplimiento generalizado de la LOPD:

Poca importancia que la sociedad en general da a la intimidad.

La dificultad para identificar este derecho como uno de los
derechos fundamentales de las personas.

Gran desconocimiento que existe acerca de esta legislación.
 Se calcula que más del 90% de las Pymes incumple la Ley.
Definiciones básicas
 Dato personal
 Fichero
 Sistema de Información
 Recurso
 Origen y Consentimiento
 Derechos del afectado
LOPD
 Actuaciones:

Legalizar los ficheros ante la Agencia de Protección de Datos.

Posibilitar el ejercicio de los derechos de los afectados.

Deber de información y obtención del consentimiento.

Regular la comunicación de los datos.

Mantenimiento del secreto y la confidencialidad.

Tomar las medidas organizativas, jurídicas y técnicas 
Reglamento de medidas de seguridad.
Sanciones
 Leves, de 601 a 60.101 €

Poseer datos obsoletos
 Graves de 60.101 a 300.506 €

Crear un fichero con el fin distinto al objeto de la entidad y/o el
consentimiento
 Muy Graves, De 300.506 € a 601.012 €

Comunicación o cesión no permitida
Reglamento. Actuaciones
 3 niveles de seguridad. A cada nivel se aplican una serie de medidas.
 Documento de seguridad.
Resumen de medidas
Nivel Básico
Nivel Medio
Nivel Alto
La LSSICE
 Ley de Servicios de la Sociedad de la Información y del Comercio
Electrónico




Prestadores de servicio en la Sociedad de la Información.
ISP: registro de acceso y tráfico.
Actividades comerciales a través del e-mail.
Sitios web de prestadores: información de la empresa, CIF,
registro mercantil, etc.
Fases de la adecuación a la normativa de protección de datos
personales:





Análisis y auditoría.
Datos de carácter personal y relación laboral.
Protección.
Legalización.
Gestión.
El 1º paso: la Legitimación
 Legitimar: “Solucionar” la entrada, transmisión y cesión de la
información.

Textos (folletos, cartas, web, etc).

Datos de carácter personal y relación laboral.

Contratos de arrendamiento de servicios.

Personas jurídicas.

Colaboradores.

Proveedores informáticos.

Empresas que comparten sistemas de información y datos.
El 2º paso: la Protección
 Implantación de Medidas de seguridad.
 Descripción de procedimientos . Documento de seguridad.
El 3º paso: la Legalización
 Registro del fichero ante la Agencia de Protección de datos.
El 4º paso: la Gestión
 Medidas de seguridad. Día a día.
 Procedimientos de inventario y registro.

Entrada de datos y legitimación.

Sistemas de información y recursos.

Usuarios y accesos.

Incidencias.

Inventario y Registro de entrada/salida de soportes.

Copias de seguridad.

Registro de Accesos (sólo nivel alto).

Auditoría bianual (a partir de nivel medio).
La Solución: la consultoría
Protección de Datos Personales
SEYDE
de
El Grupo SEYDE-ABOGADOS (Consultores y Juristas
Especializados) es un grupo que cuenta con un Departamento
Especializado en Derecho de las Nuevas Tecnologías, entre
los que se encuentran los temas de Protección de Datos,
Firma y Comercio Electrónico, así como de Delitos
Informáticos. En ese sentido, ha elaborado la presente
documentación sobre las leyes de “Protección de Datos de
Carácter Personal” y de “Servicios de la Sociedad de la
Información y de Comercio Electrónico”
Descargar