Información sobre la Ley Orgánica de Protección de Datos

(LOPD)

Agenda

Los datos personales

LOPD. Historia

Conceptos básicos.

AEPD - Problemática de no cumplir con la LOPD.

Obligaciones empresariales.

o Componente legal.

o Componente organizativo.

o Componente técnico.

Pasos a seguir para adecuar la empresa.

Los datos personales

¿Porqué de esta ley?

Los datos personales Nuestro día a día Las nuevas tecnologías

LOS DATOS PERSONALES PERMITEN IDENTIFICAR A UNA PERSONA. El nombre, apellidos, dirección postal, e-mail, teléfono, nº de matrícula del coche, huella digital, fotografía, grabación de vídeo, ADN, ... son datos que identifican a una persona, ya sea de forma directa o indirecta.

ES HABITUAL QUE PRACTICAMENTE PARA CUALQUIER ACTIVIDAD SEA NECESARIO RECOGERLOS Y UTILIZARLOS. Cuando abrimos una cuenta, matriculación en un curso, en el gimnasio, solicitud de participación en un concurso, cuando se reserva un vuelo o un hotel, cuando se pide cita en el médico, cuando busca trabajo, cada vez que efectuo un pago con tarjeta, cuando navego por internet... constantemente en la vida diaria dejo rastro sobre mis gestiones.

EL DESARROLLO Y APLICACIÓN DE LAS NUEVAS TECNOLOGÍAS EN EL TRATAMIENTO DE LA INFORMACIÓN.

Ha supuesto comodidad y rapidez en el tratamiento e intercambio de los datos que se realiza cotidianamente. La bondad y progreso que nos aportan las tecnologías es claro, pero se hace necesario garantizar el equilibrio entre modernidad y la garantía de los derechos de los ciudadanos.

LOPD

LOPD - Historia

1978 Constitución

Española1992 LORTAD

1995 Parlamento y

consejo Europeo

1999 Regalmento medidas de seguridad

1999 LOPD

2000 Implantación medidas de seguridad

Actualidad

La ley orgánica 15/1999, de 13 de diciembre de 1999,

de protección de datos de caracter

personal.

Esta normativa afecta al 100% de las empresas de nuestro

país. (clientes, proveedores o

personal)

CLIENTES

PERSONAL

CANDIDATOS

PROVEEDORES

Conceptos básicos ¿QUE ES UN FICHERO?

Se entiende por "Fichero" todo conjunto de datos de carácter personal, cualquiera que fuese su forma o

modalidad de creación, almacenamiento, organización y acceso.

Ejemplo de ficheros tipo por organización:

1ª Obligación de registrar nuestros

ficheros ante la AEPD

Dentro de la página Web de la Agencia Española de

Protección de Datos, podemos conocer si una

organización tiene inscritos ficheros.

www.agpd.es

Muy graves. Multa de

300.506 € a 601.012 €

Graves. Multa de 60.101 € a

300.506 €

Leves. Multa de 601 € a 60.101 €

Agencia Española de Protección de Datos

... es un Ente de Derecho Público, cuya

finalidad principal es velar por el cumplimiento de la legislación sobre

protección de datos personales y controlar su aplicación; cualquier actuación que sea

contraria a las exigencias contenidas en la

LOPD puede ser objeto de denuncia ante la

Agencia: www.agpd.es Las sanciones impuestas tras la inspección encaso de incumplimiento

son elevadísimas, las mas altas de la Unión Europea, conllevando sanciones que en la mayoría de los casos oscilan los 60.000 y los 300.000 €

Incumplimiento de la LOPD

Nivel de la infracción

Descripción de la infracción Sanción prevista

LEVE

1. No atender la solicitud de rectificación o cancelación por motivos formales.

2. No proporcionar información a APD. 3. No solicitar inscripción de fichero en el RGPD (puede ser

infracción grave) 4. Recoger datos personales sin proporcionar información a

los afectados. 5. Incumplir el deber de secreto (puede ser infracción grave)

601 - 60.101€

GRAVE

Algunas infracciones son: 1. Recoger datos personales sin consentimiento expreso de

los afectados. 2. Tratar o usar datos de carácter personal incumpliendo la

legislación (puede se infracción muy grave). 3. Mantener datos inexactos, sin rectificar o cancelar 4. Mantener ficheros, locales, programas o equipos con

datos personales sin las debidas condiciones de seguridad 5. Vulnerar el deber de secreto en ficheros de nivel medio.

60.101 - 300.506€

MUY

GRAVE

Entre otras: 1. Recoger datos de forma engañosa o fraudulenta. 2. Comunicar o ceder los datos de carácter personal, fuera

de los casos en que esté permitido. 3. Transferencia de datos a países sin nivel equiparable de

protección y sin autorización de la APD. 4. No atender sistemáticamente los derechos de acceso,

rectificación, cancelación u oposición. 5. No atender sistemáticamente el deber notificación de la

inclusión de datos personales.

300.506 - 601.012€

Básico• Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico...

Medio

•Datos relativos a la comisión de infracciones administrativas o penales

•Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social.

•Ficheros sobre solvencia patrimonial o de crédito.

•Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...)

•Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas

Alto

•Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual.

•Datos recabados para fines policiales sin consentimiento de las personas afectadas

•Datos de derivados de actos de violencia de género

Conceptos básicos NO ES LO MISMO TRATAR DATOS MERAMENTE IDENFICATIVOS (nombre, teléfono, etc) QUE

DATOS QUE PUEDEN COMPROMETER A LA PERSONA (enfermedades, deudas, orientación sexual).

Política de la agencia

Campaña de sensibilización

No sancionar los registros

La AEPD

Se financia con las sanciones

Obligaciones de la empresa

Obligaciones legales

Obligaciones organizativas

Obligaciones técnicas

Obligaciones legales

1º MOMENTO: El momento de la recogida de los datos , bien directamente del

interesado o de un tercero

2º MOMENTO: El momento del tratamiento automatizado de los datos, que

pueden ser cruzados y relacionados en forma automática con otros datos.

3º MOMENTO: El momento de la utilización y, en su caso, comunicación a terceros

de los resultados del tratamiento, conocido esta última como “cesión o comunicación de datos”

Obligaciones organizativas y técnicas

OBLIGACIONES TECNICAS Y ORGANIZATIVAS : REGLAMENTO DE DESARROLLO (RDLOPD) 1720/2007

FICHEROS Y TRATAMIENTOS

AUTOMATIZADOS

FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS

Obligaciones empresariales organizativas y técnicas

AUTOMATIZADOS NO AUTOMATIZADOS

OBLIGACIONES A DEARROLLAR BASICO MEDIO ALTO BASICO MEDIO ALTO Documento de seguridad Funciones y obligaciones del personal Registro de incidencias Control de acceso lógico Registro de salida de soportes Identificación de usuarios Copias de respaldo y recuperación Responsable de seguridad Auditoria bianual Control de acceso físico Registro de entrada de soportes Distribución cifrada de soportes Cifrado de telecomunicaciones Registro de accesos Archivo Almacenamiento Custodia

MANTENIMIENTO Y AUDITORIA

4º FASE: FORMACIÓN Y ASESORAMIENTO FINAL

ENTREGA DE DOCUMENTACIÓN,FORMACIÓN Y ASESORAMIENTO FINAL

3ª FASE: DESARROLLO DE PROCEDIMIENTOS Y COBERTURA LEGAL

DESARROLLO DOCUMENTO DE SEGURIDAD COBERTURA LEGAL, JURÍDICA Y ORGANIZATIVA

2ª FASE: ANALISIS DE LOS SISTEMAS INFORMÁTICOS.

INFORME TÉCNICO LOPD Y GUIA DE RECOMENDACIONES

1º FASE:ANALISIS DE LA ORGANIZACIÓN Y SITUACIÓN JURÍDICA DE LOS FICHEROS

REGISTRO DE FICHEROS EN EL RGPD

Pasos en la adaptación

1 SEMANA

2

SEMANAS

1 SEMANA

1 AÑO

El desconocimiento de la ley no exime de su cumplimiento

La aplicación de la LOPD nos permitirá evitar las elevadísimas sanciones,pero no debemos olvidar que al cumplir la ley, mejoramos la seguridad yprocedimientos de nuestra empresa y la imagen frente a nuestrosclientes, proveedores y empleados, respetando la privacidad y elderecho a su intimidad.

El titular o propietario de los datos no es quien los posee en un fichero(papel o informático), si no el individuo al que se refieren los datos.

Conclusiones