Presentación servicios LOPD

Anuncio
LOPD
Al lado de las empresas en la
implantación de la LOPD.
Principales aspectos de la ley
OBJETO
Garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas y, en especial, su
honor e intimidad personal y familiar (Art. 18.4 de la Constitución Española).
MARCO LEGAL
●
LOPD: Ley Orgánica 15/1999 de 13 de Diciembre de Protección de Datos de Carácter Personal.
●
Reglamento de Medidas de Seguridad de ficheros automatizados RD 997/1999 del 11 de Junio.
●
Reglamento de Medidas de Seguridad RD 1720/2007 del 19 Enero de 2008
●
La Ley regula el marco general, el reglamento se refiere a las normas de seguridad en los ficheros informáticos.
TIPOS DE DATOS PROTEGIDOS
Identificativos, Personales, Académicos y Profesionales, Comerciales, Económico Financieros y de Transacciones.
Los datos relativos a Ideología, Afiliación Sindical y Política, Religión, Creencias, Origen Racial, Salud y Vida
Sexual, gozan de una protección especial.
Principales aspectos de la ley
DEFINICIONES
●
Titular: Es el afectado o interesado, titular de los datos almacenados.
●
Responsable del fichero: Es la persona física o jurídica que decide sobre la finalidad, contenido y uso del fichero.
Encargado del tratamiento: Es la persona física o jurídica que realiza cualquier tratamiento al fichero por orden y cuenta
del Responsable del Fichero.
●
Agencia de Protección de Datos (AGPD): Es la Agencia Estatal que vigila por el cumplimiento de la legislación sobre la
protección de datos.
●
Fichero: El conjunto organizado de datos personales, cualquiera que sea la forma o modo de creación, lugar o forma de
almacenamiento y organización de acceso.
●
DERECHOS DEL TITULAR DE LOS DATOS
El Responsable del Fichero está obligado a facilitar al Titular el ejercicio de los siguientes derechos:
●
Derecho de acceso a sus datos.
●
Derecho de rectificación.
●
Derecho de cancelación.
●
Derecho de oposición.
Definición de dato personal
CADA VEZ QUE ALGUIEN REGOGE Y TRATA LOS SIGUIENTES DATOS ESTAMOS ANTE UN SUPUESTO
REGULADO EN LA LOPD
●
Nombre y apellidos de una persona.
●
Fecha de nacimiento.
●
Dirección postal.
●
Dirección de correo electrónico.
●
Número de teléfono.
●
Número de identificación fiscal.
●
Huella digital.
●
Una fotografía.
●
Fotos de radar.
●
Una cámara de videovigilancia.
●
Una cinta o dvd de grabación.
●
Matrícula del coche.
●
Dirección IP pues está relaciona con una persona.
●
Cualquier otra posible modalidad de la que se desprendan datos personales.
Cesión de datos personales
Cada día se producen cesiones de los datos personales de una empresa sin que seamos conscientes de ello.
Cuando hay una CESIÓN, debe haber una PROTECCIÓN LEGAL.
Hay cesión de datos cuando:
Facilitamos datos de trabajadores a asesorías para confeccionar nóminas y seguros sociales.
Facilitamos datos de clientes y proveedores a asesorías para declaraciones fiscales.
●Encargamos a la imprenta tarjetas de visita.
●Hacemos una reserva de billetes a las agencias de viajes.
●Facilitamos datos a empresas del mismo grupo.
●Encargamos un servicio a empresas de recobro de morosos.
●Contratamos la prevención de riesgos laborales
●Y un largo etcétera.
●
●
OCISoluciones dispone del sistema para que su empresa esté protegida contra las posibles cesiones de datos.
Principales aspectos de la ley
PRINCIPALES OBLIGACIONES DEL RESPONSABLE DEL FICHERO
Deberá comunicar a la AGPD, por medio de la correspondiente inscripción, la existencia de ficheros con datos
personales y las posibles modificaciones.
●
Redactar el Documento de Seguridad aplicable según el nivel de seguridad requerido por los datos contenidos en el
fichero. Aplicar su contenido y mantenerlo actualizado a disposición de la AGPD.
●
●
Adoptar el mismo nivel de medidas de seguridad que aplique el Responsable del Fichero.
●
Mantener secreto profesional sobre los datos tratados.
●
Suscribir un contrato con el/los Responsables del Fichero.
¿A QUIÉN INCUMBE LA LEY?
La Ley OBLIGA a TODOS los profesionales, empresas y organismos, públicos y privados, que traten con datos de
carácter personal.
Principales aspectos de la ley
El Reglamento como novedad, amplia toda la protección de los datos a los SISTEMAS MANUALES de todas las
empresas.
NIVELES DE PROTECCIÓN
Nivel Básico (Bajo) : Se aplicará entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles
Medio y Alto.
Ejemplos: nombre, domicilio, teléfono, DNI, número de afiliación a la seguridad social, fotografía, firmas, correos
electrónicos, datos bancarios, edad, fecha de nacimiento, sexo, nacionalidad, etc.
●
Nivel Medio : Se aplicará esta protección, entre otros, a los ficheros que contengan datos relativos a solvencia
patrimonial, operaciones financieras y de crédito.
Ejemplos: datos de personalidad, hábitos de consumo, hábitos de carácter, datos seguridad social, solvencia patrimonial
y crédito, antecedentes penales, sanciones administrativas, pruebas psicotécnicas, currículums, etc.
●
Nivel Alto : Son las que se aplican a los ficheros que contienen datos especialmente protegidos como los relativos a
ideología, afiliación sindical y política, religión y creencias, origen racial, salud, alimentación, bajas laborales, vida y
práctica sexual, etc.
●
Medidas de seguridad obligatorias
En función del nivel de protección de los datos que se utilizan, hay que aplicar distintas medidas de seguridad.
MEDIDAS DE SEGURIDAD NIVEL BÁSICO (Bajo) :
●Documento de seguridad.
●Definición de funciones del personal.
●Registro de incidencias.
●Identificación y autentificación de usuarios.
●Control de acceso.
●Gestión de soportes.
●Mantenimiento de copias de seguridad y soportes informáticos.
MEDIDAS DE SEGURIDAD NIVEL MEDIO :
●Incluye las medidas del nivel anterior.
●Responsable de seguridad.
●Auditoria bianual.
●Control de acceso físico.
MEDIDAS DE SEGURIDAD NIVEL ALTO :
●Incluye las medidas de los dos niveles anteriores.
●Distribución de soportes.
●Registro de accesos.
●Cifrado de copias.
●Cifrado de telecomunicaciones.
Medidas de seguridad obligatorias
Estas medidas obligan a:
Disponer de una destructora de papel para cualquier documento con datos (facturas, extractos bancarios, contratos,
asientos contabilidad, etc).
●
Llevar un registro del sistema de archivo de los documentos de la empresa y tener el archivo cerrado con llave (tenemos
la posibilidad de armarios con llave o habitaciones con llave).
●
También obliga a que los trabajadores, antes de terminar su jornada de trabajo, cierren bajo llave cualquier documento
que contenga un dato personal (facturas, albaranes, dni, etc.).
●
●
Los ordenadores han de tener sistemas de acceso controlados y limitados por el empresario.
Ante el coste de los cambios de estructura y mobiliario que puede suponer este nuevo sistema para las empresas, es
imprescindible potenciar los sistemas informáticos de gestión documental que sirvan de registro de archivo para eliminar
al máximo los documentos en papel de la empresa.
Cualquier programa que sea utilizado por un empresario con datos personales que deban ser protegidos a nivel
medio deberá tener:
●
Un registro de los accesos a los ficheros de la empresa.
●
Un sistema que limite el número de intentos reiterados de acceso no autorizado.
●
Un almacenamiento ininteligible de las contraseñas.
●
Sistema automatizado de exigencia de cambio de contraseñas si ha pasado un año sin que el cambio se haya realizado.
Esto supone que los nuevos programas han de cumplir este requisito a partir del 19 abril de 2008 y que los programas
anteriores deben adaptarse.
Medidas de seguridad obligatorias
Además, el responsable de CUALQUIER FICHERO DE NIVEL BÁSICO deberá tener:
●
Un inventario de soportes y un registro de entrada y salida.
●
Identificación del tipo de información que contienen.
●
Autorización de las salidas de soportes (incluidas a través de e-mail).
Esto va a obligar a todas las empresas a adecuar sus sistemas informáticos a la nueva normativa y además a mantener
políticas estrictas en relación con la salida de elementos portátiles con los que se pueda acceder a los servidores de la
empresa.
OBLIGA A CREAR UN DOCUMENTO DE POLITICA DE EMPRESA SOBRE UTILIZACIÓN DE
EMAIL PARA CONOCIMIENTO DE TODOS LOS TRABAJADORES.
Evitar conductas sancionadoras
Las acciones comerciales deben pasar el control de protección de datos de forma que no se infrinja la normativa
sobre el sistema de obtención de los datos de los destinatarios de la publicidad.
La inclusión de un cliente nuestro que tenga la condición de moroso en las listas de solvencia patrimonial puede
hacerse sólo si se utiliza el sistema previsto por la norma.
Cuando tenemos un cliente menor de edad hay que seguir un protocolo específico sobre la obtención de datos.
Hay que registrar nuevamente los ficheros ya inscritos y para las empresas que tienen implantada la protección de
datos, revisarla y ver las modificaciones que se deben adaptar.
Auditoria bianual obligatoria y notificación de su superación a la Agencia de Protección de Datos.
Régimen sancionador
RÉGIMEN SANCIONADOR: (las infracciones se clasifican según la gravedad)
LEVES:
No atender la solicitud de rectificación o cancelación por motivos formales.
No proporcionar información a la AGPD.
●No solicitar inscripción de fichero en la AGPD (puede ser infracción grave).
●Recoger datos sin proporcionar información a los afectados.
●Incumplir el deber de secreto (puede ser infracción grave).
●
●
Se sancionan con multas de 900€ a 40.000€
GRAVES:
Recoger datos personales sin consentimiento expreso de los afectados.
Tratar de usar datos de carácter personal incumpliendo la legislación (puede ser infracción grave).
●Mantener datos inexactos, sin rectificar o cancelar.
●Mantener ficheros, locales, programas o equipos con datos personales sin las debidas medidas de seguridad.
●Vulnerar el deber de secreto de ficheros de nivel medio.
●
●
Se sancionan con multas de 40.001€ a 300.000€
Régimen sancionador
MUY GRAVES:
Recoger datos personales de forma engañosa o fraudulenta.
Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido.
●Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la AGPD.
●No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición.
●No atender sistemáticamente el deber de notificación de la inclusión de datos personales.
●
●
Se sancionan con multas de 300.001€ a 600.000€
Atención:
En el supuesto de que exista una obtención fraudulenta de datos puede cometerse un delito penal, siendo
aplicable además de las sanciones a la empresa, las sancionadoras del Código Penal para el autor del delito.
Servicios profesionales
CONCEPTOS NECESARIOS:
●Información y revisión técnica exhaustiva de su empresa (Auditoria Informática).
●Información y revisión legal-jurídica de su empresa (Auditoria Jurídica).
●Es imprescindible cumplir con la obligación de notificar los ficheros.
●El cumplimiento de la ley evita sanciones y permite proyectar una mejor imagen de su empresa.
●Es muy aconsejable un servicio realizado conjuntamente entre una compañía informática y una compañía jurídica.
ASESORAMIENTO JURÍDICO Y TÉCNICO
●Generación del Documento de seguridad.
●Realización de Auditorias de Seguridad.
●Notificación de ficheros a la Agencia de Protección de Datos (AGPD).
●Gestión del Registro de incidencias y del Registro de E/S de Soportes.
●Biblioteca de plantillas incremental.
●Generación de contratos y documentos personalizables.
●Base de datos centralizada en SQL.
●Copia de Seguridad.
●Documentación legislativa en materia de protección de datos.
OBLIGATORIA PARA TODAS LAS EMPRESAS
OCISoluciones LE GARANTIZA LA IMPLANTACIÓN DE LA PROTECCIÓN DE DATOS EN SU EMPRESA PARA QUE
ESTÉ PROTEGIDA Y PUEDA EVITAR LAS SANCIONES
Descargar