Upload
jamal-bowman
View
28
Download
1
Embed Size (px)
DESCRIPTION
Introducción a la Ley Orgánica de Protección de Datos (LOPD). www. cumpla con la ley .com. Santander Agosto 2008. Miguel Ángel Quirós [email protected]. Índice. ANTECEDENTES NORMATIVOS CONCEPTOS BÁSICOS OBLIGACIONES DEL RESPONSABLE DEL FICHERO INFRACCIONES Y SANCIONES - PowerPoint PPT Presentation
Citation preview
Introducción a la Ley Orgánica de Protección de Datos (LOPD)
Miguel Ángel Quiró[email protected]
Santander Agosto 2008www.cumplaconlaley.com
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Índice
1. ANTECEDENTES NORMATIVOS
2. CONCEPTOS BÁSICOS
3. OBLIGACIONES DEL RESPONSABLE DEL FICHERO
4. INFRACCIONES Y SANCIONES
5. DERECHOS “ARCO” DE LOS CIUDADANOS
6. OTROS DERECHOS DE LOS CIUDADANOS
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Antecedentes
Artículo 10
Se reconoce el derecho a la dignidad de la persona …
Artículo 18
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
CONSTITUCIÓN ESPAÑOLA TÍTULO I. De los derechos y deberes fundamentales
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Antecedentes
LEY ORGÁNICA 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD).
REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
REAL DECRETO 195/2000, de 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, de 11 de junio.
REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la ley Orgánica 15/1999 de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal.
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos
1. Protección de datos2. Datos de carácter personal3. Fichero4. Tratamiento de datos5. Sujetos del tratamiento
• Afectado o interesado• Responsable del fichero o tratamiento• Encargado del tratamiento• Responsable del seguridad• Usuario del fichero
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos
¿EN QUE CONSISTE LA PROTECCIÓN DE ¿EN QUE CONSISTE LA PROTECCIÓN DE DATOS?DATOS?
Se trata de un derecho fundamental y, como tal, ha de ser respetado por todos.
Salvaguarda del derecho al honor, la intimidad, y la propia imagen de las personas físicas ante el uso ilegítimo de sus datos de carácter personal.
Garantizar al titular de los datos que los terceros, ya se trate de sector público o privado, tratarán sus datos personales con el respeto debido, de forma que aquél pueda tener un control sobre los mismos, y en todo momento sepa qué va a hacer quien trata sus datos, para qué los recaba, cómo los trata y para qué los utiliza o a quién se los cede o comunica.
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos
DATO DE CARÁCTER PERSONALDATO DE CARÁCTER PERSONAL
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Si se recogen y tratan datos como el nombre, dirección postal, e-mail, teléfono, matrícula del coche, fotografía, huella digital, etc…, se están usando datos que identifican a una persona y por tanto se han de cumplir las prescripciones recogidas en la normativa referida anteriormente.
Excluidos del amparo otorgado por la normativa en cuestión:
Los datos concernientes a personas jurídicas
Los datos de personas físicas que presenten sus servicios a personas jurídicas (nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electrónica, el teléfono y el número de fax profesionales)
Los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros
Los datos referidos a personas fallecidas
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos
FICHEROFICHEROTodo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a los criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.No se consideran ficheros a estos efectos, los que poseen las personas físicas en el ejercicio de sus actividades exclusivamente personales o domesticas (por ejemplo, los datos de una agenda electrónica de uso doméstico)
TRATAMIENTO DE DATOS:TRATAMIENTO DE DATOS:Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Es habitual que prácticamente para cualquier actividad sea necesario que los datos personales se recojan y utilicen en la vida cotidiana.
A modo de ejemplo:Cuando se abre una cuenta en un banco
Cuando se matricula en un curso de idiomas
Cuando se reserva un vuelo o un hotel
Cuando se busca trabajo
Cuando se pide hora en una consulta médica
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos: Sujetos del tratamiento
RESPONSABLE DEL FICHERORESPONSABLE DEL FICHERO
Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que sólo o conjuntamente decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.Sobre el Responsable del fichero recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización.
Así, el Responsable del fichero deberá:
Notificar los ficheros ante el Registro General de Protección de datos para que proceda a su inscripción
Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
Garantizar el cumplimiento de los deberes de secreto y seguridad
Informar a los titulares personales en la recogida de éstos
Facilitar y garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición
Velar por el cumplimiento de las medidas de seguridad aplicables en función del tipo de datos que trate.
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos: Sujetos del tratamiento
• Afectado o interesadoAfectado o interesado: persona física titular de los datos que sean objeto del tratamiento.
• Encargado del tratamientoEncargado del tratamiento: persona física o jurídica, pública o privada que, solo o conjuntamente con otros, trate datos de carácter personal por cuenta del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
• Responsable del seguridadResponsable del seguridad: Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
• Usuario del ficheroUsuario del fichero: Sujeto autorizado para acceder a datos o recursos.
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
1. Legalización
Todos aquellos ficheros que contengan datos de carácter personal, objeto de tratamiento por una Organización, habrán de ser inscritos ante el Registro General de la Agencia Española de Protección de Datos.
2. Legitimación
El tratamiento de datos de carácter personal, en cualquier Organización, debe llevarse a cabo conforme a una serie de principios básicos recogidos en la normativa.
3. Seguridad y Protección
La normativa en materia de protección de datos de carácter personal, concretamente el RDLOPD, recoge la obligación de implantar una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, medidas que habrán de ser adoptadas por la Organización que lleve a cabo un tratamiento de los datos.
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero: LEGALIZACIÓN
LEGALIZACIÓNLEGALIZACIÓN
Obligación de registrar los ficheros ante la AEPD:Quién: el Responsable del Fichero debe notificar la creación de ficheros
para su inscripción en el Registro General de Protección de Datos de la AEPD.
Cuándo: con anterioridad al uso de los ficheros, cuando se produzcan cambios respecto a la inscripción inicial, o cuando cesa el uso del fichero.
Para qué: permite que los titulares de los datos puedan conocer quienes son los responsables de los ficheros ante los que ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición.
Incumplimiento: supondría un a infracción leve o grave, quedando sujeto al régimen sancionador.
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero: LEGITIMACIÓN
LEGITIMACIÓNLEGITIMACIÓN
El Responsable del Fichero ha de cumplir, y tener presentes, una serie de principios y preceptos; como son:
Calidad
Deber de información
Consentimiento
Datos especialmente protegidos
Datos de salud
Seguridad
Deber de secreto
Comunicación o cesión de datos
Acceso por terceros
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
Los datos de carácter personal: Deben ser adecuados, pertinentes y no excesivos según
ámbito y finalidades No podrán ser usados para finalidades incompatibles con
aquellas para las que los datos hubieran sido recogidos Deben ser exactos y puestos al día De ser inexactos o incompletos rectificación o cancelación
de oficio (10 días hábiles) por RF Deben ser tratados de forma leal y lícita. Se prohíbe la
recogida de datos por medios fraudulentos, desleales o ilícitos.
Se procederá a su cancelación si no necesario o pertinente según finalidadExcepción: Conservación para el cumplimiento de obligaciones legales o contractuales
CALIDAD DE LOS DATOS
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
Datos recabados del interesado directamenteDatos recabados del interesado directamenteLos interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de :
- La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de datos y de los destinatarios de la información
- El carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas
- Las consecuencias de la obtención de los datos o la negativa a suministrarlos
- La posibilidad de ejercitar los derechos acceso, cancelación, rectificación y oposición
- La identidad y dirección del responsable del fichero o de su representante
Cuando se utilicen cuestionarios u otros documentos para la recogida, deben figurar de forma clara y legible los puntos anteriores.
El deber de información deberá llevarse a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento.
DEBER DE INFORMACIÓN
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
Datos NO obtenidos directamente del interesadoDatos NO obtenidos directamente del interesadoEl Responsable del Fichero debe informar al interesado de forma expresa, precisa e inequívoca, dentro de los 3 meses siguientes al registro de los datos, de los siguientes aspectos:
• del contenido del tratamiento• de la procedencia de los datos• existencia fichero, finalidad recogida,
destinatarios información• derechos acceso, cancelación, rectificación,
oposición• identidad y dirección responsable o
representante
DEBER DE INFORMACIÓN
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
Como regla general, el CONSENTIMIENTO del interesado es IMPRESCINDIBLE
Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
La solicitud del consentimiento debe ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos
Corresponde al responsable del fichero la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho
En el caso de tratamiento de datos de menores de catorce años se requerirá el consentimiento de los padres o tutores.
CONSENTIMIENTO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
Forma de recabar el consentimientoForma de recabar el consentimientoExpresa: Mediante la suscripción del
correspondiente documento en el que se plasme la autorización o consentimiento de sus datos de carácter personal.
Tácita: El responsable podrá dirigirse al afectado informándole de los extremos del art. 5 LOPD, concediéndole un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole que en el caso de no producirse, se entenderá que consiente el tratamiento. Debe facilitarse al interesado un medio sencillo y gratuito para manifestar su disconformidad con el tratamiento (p.ej. Teléfono o correo ordinario)
No se admite el consentimiento presunto.
CONSENTIMIENTO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
Existen diferentes tipos admisibles de consentimiento, en función del nivel de seguridad de los datos:
▀ Consentimiento tácito: datos de nivel básico y medio (nombre y apellidos, DNI, fotografía, etc.)
▀ Consentimiento expreso: datos de nivel alto, en cuanto a origen racial, salud y vida sexual.
▀ Consentimiento expreso y por escrito: datos de nivel alto: Ideología, afiliación sindical, religión y creencias.
CONSENTIMIENTO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
El afectado puede revocar el consentimiento para el tratamiento o cesión de sus datos
El RF deberá habilitar medios sencillos, gratuitos y que no impliquen ingreso alguno. (envío prefranqueado, número tel. gratuito u otros servicios de atención al publico)
No se consideran conformes el envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que impliquen tarificación adicional al afectado u otros medios que impliquen coste adicional al interesado.
Cese del tratamiento en diez días, si el interesado hubiera solicitado la confirmación del cese, se deberá responder expresamente a la solicitud.
Si los datos han sido cedidos, una vez revocado el consentimiento se deberá comunicar a los cesionarios en el plazo de diez días, para que estos cesen en el tratamiento de los datos.
CONSENTIMIENTO: Revocación
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
Existen una serie de supuestos en los que no es necesario el consentimiento del interesado para el tratamiento de sus datos; como son:
Cuando esté autorizado por una norma con rango de ley o una norma comunitaria
Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias
Cuando los datos se refieran a las partes contrato o precontrato de relación negocial, laboral o administrativa y necesarios para mantenimiento o cumplimiento
Cuando el tratamiento tenga por objeto proteger interés vital según art. 7.6 LOPD
Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para satisfacción interés legítimo del Responsable del Fichero o Tercero al que se comuniquen los datos
Sin perjuicio del deber informativo !!
EXCEPCIONES A LA SOLICITUD PREVIA DE CONSENTIMIENTO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
El Responsable del Fichero, así como quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
DEBER DE SECRETO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
COMUNICACIÓN DE DATOS
Es cualquier tratamiento de datos que suponga la revelación de los mismos a un Tercero, persona distinta del interesado.
En este sentido, conviene tener presente que se considera cesión la simple consulta que un tercero realice a los datos aunque sea a distancia y sin creación de un fichero o tratamiento nuevo.
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo CONSENTIMIENTO del interesado
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
COMUNICACIÓN DE DATOS
EXCEPCIONES al consentimiento para la cesión de los datos del interesado a Terceros
Cesión autorizada por ley Fuentes accesibles al público la cesión responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos.
Destinatarios: Defensor del Pueblo, MF o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas, así como a instituciones autonómicas análogas al Defensor del Pueblo o al Tribunal de Cuentas
Datos relativos a la salud necesarios para solucionar una urgencia
Entre administraciones públicas en determinados supuestos
Sin perjuicio del deber de información !!!!!El deber de información en supuestos de cesión es específico:
La finalidad a la que se destinarán los datos objeto de comunicación
El tipo de actividad desarrollada por el cesionario
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
ACCESO A DATOS POR CUENTA DE TERCEROS
No es comunicación cuando el acceso a los datos es necesario para la prestación de un servicio al responsable del fichero.
Este tipo de tratamiento debe formalizarse a través de un contrato regulado por Ley, es el denominado Contrato de Acceso a Datos por cuenta de tercero; cuyo contenido mínimo es:
• La obligación asumida por el encargado del tratamiento conforme:
– sólo tratará los datos según las instrucciones del responsable
– no los aplicará o utilizará con fin distinto al que figura en el contrato
– y no los comunicará ni siquiera para su conservación a otras personas (SUBCONTRATACIÓN)
• las medidas de seguridad que el encargado está obligado a cumplir
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
Cumplida la prestación contractual:– los datos de carácter personal, así como cualquier
soporte o documento en el que consten, deberán ser destruidos o devueltos al RF
– No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso se procederá a la devolución, garantizando el RF dicha conservación
– El encargado conservará debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del fichero.
El Encargado será considerado responsable y responderá de las infracciones en que incurra personalmente si destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato.
ACCESO A DATOS POR CUENTA DE TERCEROS
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
El Responsable del Fichero deberá adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal:
NIVELES DE SEGURIDAD
MEDIDAS DE SEGURIDAD
SEGURIDAD Y PROTECCIÓN
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
SEGURIDAD Y PROTECCIÓNSEGURIDAD Y PROTECCIÓN
TIPOS DE DATOS. NIVELES DE SEGURIDAD
Niveles de seguridad Niveles de seguridad aplicables en atención al tipo de datos objeto de tratamiento:
NIVEL BÁSICO: Aplicable a todos los ficheros con datos de carácter personal, nombre, dirección, teléfono, correo electrónico...
NIVEL MEDIO:
•Datos relativos a la comisión de infracciones administrativas o penales
•Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
•Ficheros sobre solvencia patrimonial o de crédito
•Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...)
•Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas.
NIVEL ALTO:
•Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual.
•Datos recabados para fines policiales sin consentimiento de las personas afectadas
•Datos de derivados de actos de violencia de género
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
Podrán adoptarse las medidas de NIVEL BÁSICO:
Ficheros o tratamientos automatizados que: – Contengan datos relativos a ideología, afiliación
sindical, religión o creencias, así como a salud• Transferencia dineraria a las entidades de las que
los afectados sean miembros o asociados.
– Contengan datos relativos a la salud:• Cumplimiento de deberes públicos• Datos que no incluyan ninguna referencia a una
enfermedad concreta o al historial clínico.• Porcentaje de discapacidad o la simple declaración
de la condición de discapacidad o invalidez del titular de los datos
Ficheros o tratamientos no automatizados que: de forma incidental o accesoria contengan datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual), sin guardar relación con la finalidad del fichero.
TIPOS DE DATOS. NIVELES DE SEGURIDAD
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad
FICHEROS AUTOMATIZADOS
FICHEROS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad
DOCUMENTO DE SEGURIDAD Elaboración de un documento, de obligado cumplimiento para el personal de la
empresa, que contenga las medidas de seguridad requeridas en función del tipo de datos tratados por el Responsable del fichero.
Contenido mínimo recogido en el RDLOPD 1720/2007
FUNCIONES Y OBLIGACIONES DEL PERSONAL
Definición de las funciones y obligaciones del personal con acceso a DCP y SI Difusión entre el personal, de las normas que les afecten y de las
consecuencias de su incumplimiento.
REGISTRO DE INCIDENCIAS Registro: tipo de incidencia, momento en que se ha producido, persona que la
notifica, persona a la que se comunica, efectos derivados y medidas correctoras.
Procedimiento definido para la notificación y gestión de incidencias que afecten a DCP.
CONTROL DE ACCESO Cada usuario accederá únicamente a los datos y recursos necesarios para el
desarrollo de sus funciones. Relación actualizada de usuarios y perfiles de usuarios, y accesos autorizados a
los mismos Mecanismos que eviten el acceso a datos o recursos con derechos distintos de
los autorizados Concesión, alteración o anulación de permisos de acceso sólo por personal
autorizado según el Documento de Seguridad
FICHEROS AUTOMATIZADOS.NIVEL BÁSICO (1)
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad
GESTIÓN DE SOPORTES Y DOCUMENTOS Medidas que eviten el acceso indebido o recuperación de la información
contenida en soportes desechados (borrado/destrucción) Acceso restringido al personal autorizado en el Documento de Seguridad Salida de soportes autorizada por el Responsable de Seguridad Identificar el tipo de información que contienen Inventario
IDENTIFICACIÓN Y AUTENTICACIÓN Identificación inequívoca y personalizada de usuarios que intenten acceder a
los Sistemas de Información Mecanismos de identificación y autenticación de usuarios:
• Procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice la confidencialidad e integridad de las mismas
• Caducidad de las contraseñas (Máximo: 1 año)• Almacenamiento inteligible de contraseñas activas
COPIAS DE RESPALDO Verificar la definición, funcionamiento y aplicación de los procedimientos de
copias y recuperación (mínimo: 6 meses) Copias de respaldo (mínimo: semanal)
FICHEROS AUTOMATIZADOS.NIVEL BÁSICO (2)
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad
DOCUMENTO DE SEGURIDAD Identificación del responsable/s de seguridad Controles periódicos para verificar su cumplimiento
GESTIÓN DE SOPORTES Y DOCUMENTOS Registro de entrada y salida de soportes
IDENTIFICACIÓN Y AUTENTICACIÓN Mecanismo que limite número de intentos reiterados de acceso no autorizado al
Sistema de Información
RESPONSABLE DE SEGURIDAD Designación de uno o varios Responsables de Seguridad Encargados de coordinar y controlar las medidas del DS No supone delegación de responsabilidad del RF
AUDITORIA Auditoria ordinaria (interna o externa): Bienal Extraordinaria: modificaciones sustanciales en los Sistemas Información Elaboración de un informe de auditoria
CONTROL DE ACCESO FÍSICO Control de acceso físico a los locales donde se ubican los Sistemas de
Información.
FICHEROS AUTOMATIZADOS.NIVEL MEDIO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad
GESTIÓN Y DISTRIBUCIÓN DE SOPORTES Identificación mediante etiquetado comprensible y significativo para usuarios
autorizados, que permita identificar su contenido. Cifrado de datos en la distribución de soportes Cifrado de dispositivos portátiles fuera de las instalaciones del responsable del
fichero.
COPIAS DE RESPALDO Y RECUPERACIÓN– Conservarse una copia en un lugar diferente de aquel en que se encuentren los
equipos informáticos
REGISTRO DE ACCESOS De cada acceso se registrará, el usuario, hora fichero accedido, tipo de acceso
autorizado/denegado y registro accedido. Control del registro de accesos por responsable de seguridad. Informe
mensual. Conservación datos registrados: 2 años.
TELECOMUNICACIONES La transmisión a través de redes pública o redes inalámbricas de
comunicaciones electrónicas debe realizarse cifrando los datos
FICHEROS AUTOMATIZADOS.NIVEL MEDIO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad: Ficheros Automatizados
OBLIGACIONES A DESARROLLAR BÁSICO MEDIO ALTO
Documento de Seguridad √ √ √
Funciones y Obligaciones del personal √ √ √
Registro de incidencias √ √ √
Gestión de Soportes y Documentos √ √ √
Identificación y autenticación de usuarios √ √ √
Control de acceso lógico √ √ √
Copias de Respaldo y Recuperación √ √ √
Responsable de Seguridad √ √
Control de acceso físico √ √
Auditoria Bianual √ √
Cifrado de telecomunicaciones √
Registro de accesos √
OBLIGACIONES TECNICAS Y ORGANIZATIVAS RD1720/2007:
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad
Se aplicarán igualmente a los ficheros no automatizados, las siguientes medidas descritas para ficheros automatizados, teniendo en cuenta los niveles de seguridad:
DOCUMENTO DE SEGURIDAD FUNCIONES Y OBLIGACIONES DEL PERSONAL REGISTRO DE INCIDENCIAS CONTROL DE ACCESO GESTIÓN DE SOPORTES Y DOCUMENTOS RESPONSABLE DE SEGURIDAD AUDITORIA
FICHEROS NO AUTOMATIZADOS.Criterios Generales
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero
CRITERIOS DE ARCHIVO Correcta conservación, localización, consulta y ejercicio de los derechos
ARCO Criterios y procedimientos de archivo
DISPOSITIVOS DE ALMACENAMIENTO Mecanismos que dificulten su apertura e impidan el acceso a personas no
autorizadas
CUSTODIA DE SOPORTES Usuario autorizado de la documentación no archivada, encargado de
custodiarla e impedir el acceso por persona no autorizada
FICHEROS NO AUTOMATIZADOS.NIVEL BÁSICO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad
ALMACENAMIENTO DE LA INFORMACIÓN Armarios o archivadores ubicados en áreas de acceso con sistemas de
apertura mediante llave o dispositivo equiparable
ACCESO A LA DOCUMENTACIÓN Mecanismo de identificación de accesos a documento con múltiples usuarios Registro de accesos de usuarios no autorizados Solo personal autorizado
TRASLADO DE LA DOCUMENTACIÓN Medidas que impidan el acceso o manipulación de la documentación durante
el transporte
FICHEROS NO AUTOMATIZADOS.NIVEL ALTO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad: Ficheros No Automatizados
OBLIGACIONES A DESARROLLAR BÁSICO MEDIO ALTO
Documento de Seguridad √ √ √
Funciones y Obligaciones del personal √ √ √
Registro de incidencias √ √ √
Gestión de Soportes y Documentos √ √ √
Control de acceso lógico √ √ √
Criterios de archivo √ √ √
Dispositivos de almacenamiento
Custodia de soportes √ √ √
Responsable de Seguridad √ √
Auditoria Bianual √ √
Almacenamiento de la información √
Copia o reproducción
Acceso a la documentación
Traslado de la documentación √
OBLIGACIONES TECNICAS Y ORGANIZATIVAS RD1720/2007:
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Infracciones y Sanciones
... es un Ente de Derecho Público, cuya finalidad principal es velar por el cumplimiento de la normativa sobre protección de datos personales, actuando para ello con plena independencia de las administraciones Públicas.
FUNCIONES Y POTESTADESVelar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de los datos•Atender las peticiones y reclamaciones formuladas por las personas afectadas•Potestad sancionadora•Potestad de inspección•Potestad de inmovilización de ficheros
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Infracciones y Sanciones
Nivel de la infracción
Descripción de la infracción Sanción prevista
LEVE
1. No atender la solicitud de rectificación o cancelación por motivos formales.
2. No proporcionar información a APD.3. No solicitar inscripción de fichero en el RGPD (puede ser
infracción grave).4. Recoger datos personales sin proporcionar información a
los afectados.5. Incumplir el deber de secreto (puede ser infracción grave).
601 - 60.101€
(100.000-10 M Ptas.)
GRAVE
Algunas infracciones son:1. Recoger datos personales sin consentimiento expreso de
los afectados.2. Tratar o usar datos de carácter personal incumpliendo la
legislación (puede se infracción muy grave).3. Mantener datos inexactos, sin rectificar o cancelar4. Mantener ficheros, locales, programas o equipos con datos
personales sin las debidas condiciones de seguridad5. Vulnerar el deber de secreto en ficheros de nivel medio.
60.101 - 300.506€
(10 - 50 M Ptas.)
MUY GRAVE
Entre otras:1. Recoger datos de forma engañosa o fraudulenta.2. Comunicar o ceder los datos de carácter personal, fuera de
los casos en que esté permitido.3. Transferencia de datos a países sin nivel equiparable de
protección y sin autorización de la APD.4. No atender sistemáticamente los derechos de acceso,
rectificación, cancelación u oposición.5. No atender sistemáticamente el deber notificación de la
inclusión de datos personales.
300.506 - 601.012€
(50 - 100 M Ptas.)
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
DERECHOS
Acceso
Rectificación
Cancelación
Oposición
Derechos ARCO de los Ciudadanos
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
A. Naturaleza
B. Requisitos
C. Procedimiento
D. Ejercicio de derechos ante un
Encargado de Tratamiento.
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
• Personalísimo
• Se ejercitarán :
Por el afectado, acreditando su identidad
Por representante legal, acreditando tal condición→ supuestos de incapacidad o minoría de edad que imposibilite el ejercicio de estos
derechos
A través de representante voluntario, acreditando la identidad del representado
→ mediante aportación del DNI del representado y la representación conferida por éste.
• Denegación de solicitud:
Cuando sea formulada por persona distinta del afectado y no se acredite que la misma actúa en representación del afectado.
NATURALEZA
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
• Derechos independientes:
No es necesario el ejercicio de uno para poder llevar a cabo el ejercicio de otro
• Otorgamiento de un medio sencillo y gratuito para el ejercicio de los derechos ARCO,
Medios NO conformes a la ley:
→ envíos de cartas certificadas o semejantes,
→ utilización de servicios de telecomunicaciones de tarificación adicional
→ cualesquiera otros medios que impliquen un coste excesivo
• Utilización de un medio distinto al establecido al efecto: El responsable del fichero deberá atender igualmente a la solicitud,
siempre que el medio elegido permita acreditar el envío y la recepción de la solicitud
REQUISITOS
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
• Comunicación dirigida al Responsable del Fichero: Nombre y apellidos del interesado y fotocopia del DNI / Persona que lo
Representa y documento acreditativo
Petición en que se concreta la solicitud
Dirección a efectos de notificaciones, fecha y firma del solicitante
Documentos acreditativos de la petición que formula,
• Corresponde al Responsable del Fichero: Deber de contestación figuren o no datos personales del afectado
Solicitar la subsanación de los errores en la solicitud, en caso de que las hubiere
Deber de cumplir con los requisitos para la contestación
La prueba del cumplimiento del deber de respuesta
Garantizar que las personas con acceso a datos dentro de su organización puedan informar del procedimiento para el ejercicio de sus derechos, al interesado
PROCEDIMIENTO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
• Supuesto concreto:
→ ejercicio de derechos ARCO ante un encargado de tratamiento
• Regla general:
→ El Encargado de Tratamiento deberá trasladar la solicitud al Responsable del fichero, para que éste la resuelva
• Excepción:
→ Salvo que en la relación existente entre ET y RF, se prevea la atención a dichos derechos por parte del ET.
DERECHOS ANTE ENCARGADO DE TRATAMIENTO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
A.Derecho de acceso
B.Derechos de rectificación
C.Derecho de cancelación
D.Derechos de oposición
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
Derecho del afectado a obtener información sobre:
– si sus propios datos están siendo objeto de tratamiento
– la finalidad del tratamiento que se esté realizando
– el origen de dichos datos
– las comunicaciones realizadas o que se prevean realizar.
DERECHO DE ACCESO
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
Derecho de rectificación → derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos
Derecho de cancelación→ derecho a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber del bloqueo
DERECHO DE RECTIFICACIÓN Y CANCELACIÓN
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
Derecho a que no se lleve a cabo el tratamiento de sus datos de carácter personal en los siguientes supuestos:
a. Cuando no sea necesario su consentimiento
b. Cuando el tratamiento tenga por finalidad realización de actividades de publicidad y prospección comercial
c. Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos
DERECHO DE OPOSICIÓN
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos
1.Infracciones leves de 600€ a 60.000€
No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
2.Infracciones graves de 60.000€ a 300.000€
El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
Mantener los datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente ley ampara
3.Infracciones muy graves de 300.000€ a 600.000€
No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
INFRACIONES Y SANCIONES
Sanciones
Sanciones
Sanciones
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Otros derechos de los ciudadanos
A. Derecho de indemnización
B. Derecho de exclusión de guías telefónicas
C. Derecho a no recibir publicidad no deseada
D. Derechos de los destinatarios de servicios de
comunicaciones electrónicas
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Otros derechos de los ciudadanos
• Interesados que sufran daño o lesión sobre sus bienes o derechos
→ La AEPD: No competencia para fijar indemnizaciones
a) Ficheros titularidad pública: responsabilidad exigida de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas
b) Ficheros titularidad privada: acción se ejercitará ante los órganos de la jurisdicción ordinaria.
DERECHO DE INDEMNIZACIÓN
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Otros derechos de los ciudadanos
• Datos repertorios telefónicos (papel/soporte electrónico) = Fuente Accesible al Público.
– Permitido tratamiento sin consentimiento del interesado
– Medio para evitar que los datos sean de Dominio Publico:
→ Solicitar la exclusión total o parcial de los datos personales contenidos en repertorios telefónicos de abonados
→ En caso contrario: uso legal de los datos sin consentimiento
DERECHO DE EXCLUSIÓN DE GUIAS TELEFONICAS
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Otros derechos de los ciudadanos
•Tratamientos con fines de publicidad y prospección comercial:
Los datos han de ser:
· de fuentes accesibles al público
· facilitados por los propios interesados
· obtenidos con su consentimiento
Datos de fuentes accesibles al público
· En cada comunicación se informará del origen de los datos y de la identidad del RF , de los derechos ARCO
DERECHO A NO RECIBIR PUBLICIDAD NO DESEADA
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Otros derechos de los ciudadanos
•Prohibición:
→ Envío de comunicaciones publicitarias o promocionales
→ Mediante correo electrónico u otro medio de comunicación electrónica equivalente
→ No solicitadas o expresamente autorizadas por los destinatarios.
•Excepción:
→ Cuando el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario
→ los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los inicialmente contratados.
•Regla general:
→ El prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con tal fin
→ Mediante un procedimiento sencillo y gratuito
→ Tanto en el momento de la recogida de los datos como en cada una de las comunicaciones comerciales que le dirija
DERECHOS DE LOS DESTINATARIOS DE SERVICIOS DE COMUNICACIONES ELECTRÓNICAS
Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Sitios Web de Interés
www.agpd.es
Agencia Española de Protección de Datos
www.cumplaconlaley.com
Portal Empresarial de Quirós Informática sobre la LOPD
www.cumplaconlaley.com/uimp.htm
Dirección para descagas de la Presentación y Documentación adicional
Muchas gracias por su atención y hasta la próxima.
Miguel Ángel Quiró[email protected]
www.cumplaconlaley.com