Descripción de la solución para la

adaptación a la L.O.P.D.

Enero 2012 / 2

L.O.P.D. - ¿Qué es?Es un derecho fundamental que garantiza a toda persona un poder de control  sobre sus datos personales, sobre su uso y destino, con el propósito de impedir el tratamiento no autorizado. La propiedad del dato NO es de quien lo posee, sino de su titular. Por tanto es el titular del dato quien tiene el derecho a decidir cuándo, cómo, dónde y por quién puede ser tratado.

La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), entró en vigor en enero del año 2000, con el objetivo de velar por el derecho a la intimidad y privacidad de cualquier ciudadano.

En Abril del 2008, entró en vigor el Real Decreto (1720/2007), en el que se aprueba el nuevo reglamento, con el objeto de desarrollo de esta Ley Orgánica, para generalizar los derechos fundamentales de privacidad de las personas.

Enero 2012 / 3

¿Cuáles son los datos personales? Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o

de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Dentro del ámbito de la Protección de Datos Personales, los datos pueden clasificarse en:

– Públicos: necesarios para el desarrollo de la vida social y económica, p.e. domicilio, nombre, apellidos.

– Privados: para los que existe la necesidad de obtener consentimiento del afectado (expreso o no), p.e. datos financieros.

– Especialmente protegidos: se trata de datos sensibles que sólo pueden ser tratados con el consentimiento expreso y por escrito del afectado (ideología, afiliación sindical, religión, salud, vida sexual...)

Habitualmente los datos se agrupan en ficheros, que pueden ser automatizados o no automatizados (en formato papel)

Enero 2012 / 4

¿Qué es el tratamiento de datos? Cualquier operación o procedimiento técnico, sea o no automatizado que

permita la recogida, grabación, conservación, elaboración, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como la cesión de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Respecto al tratamiento de datos de carácter personal, la ley distingue las siguientes figuras:

– Responsable del fichero o del tratamiento: es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decide sobre la finalidad, contenido y uso del tratamiento.

– El Responsable del fichero o tratamiento es el que está obligado a cumplir con la Ley Orgánica de Protección de Datos (LOPD) y quién responde de su incumplimiento.

– Encargado del tratamiento: es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del tratamiento.

Debe existir una relación jurídica formalizada que vincule al Responsable del fichero y al Encargado del tratamiento y que delimite el ámbito de actuación para la prestación del Servicio.

Enero 2012 / 5

Niveles de seguridad

Nivel básico Nivel medio Nivel alto (*)• Nombre y Apellidos• NIF / CIF• Dirección• Población• Teléfono• Sexo (H / M)• Estado civil• Algunos datos relativos a la

salud, referentes exclusivamente al grado de incapacidad o declaración de incapacidad o invalidez del afectado, con motivo de cumplimiento de deberes públicos

• Sanciones administrativas• Infracciones penales• Gestión de la hacienda

pública• Servicios financieros• Información sobre solvencia

patrimonial y crédito• Gestión de la Seguridad

Social, mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social

• Datos que ofrezcan una definición de la personalidad de los ciudadanos y permitan evaluar determinados aspectos de su personalidad o comportamiento

• Ideología• Religión• Creencias• Afiliación sindical• Origen racial• Salud• Sexualidad• Todos los recabados para

fines policiales• Aquellos que contengan

datos derivados de actos de violencia de género

* A los datos de nivel alto, bastará con aplicarles las medidas de nivel básico cuando:

Se utilicen exclusivamente para realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guarda

Los niveles de seguridad implican una serie de Medidas de Seguridad que se deben establecer, y que dependerán de la naturaleza de los datos que son objeto de tratamiento.

Enero 2012 / 6

Todo tratamiento de datos de carácter personal se rige por la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal).

Toda organización está obligada legalmente a cumplir con la reglamentación vigente. Según la Constitución española, “El desconocimiento de la Ley, no exime de su cumplimiento”.

La adecuación a la LOPD es obligatoria para toda organización, independientemente de su tamaño o actividad.

Ignorar o incumplir el reglamento legal podría costarle muy caro.

Normativa L.O.P.D.

Enero 2012 / 7

La LOPD afecta a todas las organizaciones:

– Empresas– Trabajadores autónomos– Comercios– Asociaciones– Comunidades de vecinos– Ayuntamientos– Etc.

¿A quién obliga?

La LOPD se aplica a los datos de carácter personal, registrados en soporte físico ya sea en formato automatizado o no, que los haga susceptibles de tratamiento por cualquier sector ya sea público o privado.

Enero 2012 / 8

Obligaciones cotidianas

Informar a cada persona de la que se obtienen datos de sus derechos (a través de las cláusulas a introducir en cartas, facturas, albaranes, correo electrónico y todo tipo de formularios).

No utilizar nunca datos de personas de las que no se tenga su consentimiento expreso (salvo uso de repertorios públicos).

Asegurarse de que cualquier cesión de datos (asesorías, informáticos, empresas de telemarketing, etc…) esté respaldada por la correspondiente documentación legal.

Enero 2012 / 9

Las sanciones por incumplimiento de la normativa que implica esta Ley, tienen una elevada cuantía, siendo España el país de la Unión Europea que tiene las sanciones más altas en materia de protección de datos.

Las sanciones pueden ser de cuantía variable, en función de la gravedad de la infracción. Las infracciones se califican en:

– Leve: 900 a 40.000 €.

– Grave: 40.001 a 300.000 €.

– Muy Grave: 300.001 a 600.000 €.

Estas sanciones son Acumulativas pudiendo llegar al millón de euros, sanción máxima que se conoce a día de hoy.

Razones principales para Cumplir la Ley (1)

Enero 2012 / 10

Marketing– Tener el consentimiento de sus clientes y prospectos, le dan a las

empresas y los profesionales la posibilidad de utilizar sencillas herramientas de marketing (fax, correo electrónico …) sin riesgos legales.

Seguridad interna– Cumplir la LOPD permite a la empresa defenderse frente a

empleados desleales. Su incumplimiento provoca que la empresa no pueda denunciar un posible robo de sus bases de datos, pues la primera sanción sería para la propia empresa al no haber cumplido su deber de salvaguarda de los datos.

Razones principales para Cumplir la Ley (2)

Enero 2012 / 11

Cualquier persona puede denunciar a cualquier empresa.

– Trabajador insatisfecho o despedido.– Cliente o proveedor insatisfecho.– La misma competencia.

La A.G.P.D. (Agencia Española de Protección de Datos) actúa bajo denuncia o de oficio.

– Recogida denuncia muy fácil (fax, email, web, teléfono) incluso de forma anónima, y están obligados a gestionar toda las denuncias en corto plazo.

Cualquiera puede tener una sanción

Enero 2012 / 12

No estar registrado en la Agencia Española de Protección de Datos (Vulnera la LOPD) 900 €.

Ser encargado de tratamiento y no disponer de un Contrato de Prestación de Servicios (Vulnera la LOPD) 40.000€

Subcontratar un servicio a un tercero y no disponer del Contrato de Prestación de Servicios con el subcontratado (Vulnera la LOPD) 300.000€

Página Web con formulario de recogida de datos sin cláusula legal (Vulnera la LOPD) 900€

Enviar un e-mail comercial a un particular sin autorización previa (Vulnera la LSSI) 1.000€

No disponer de Documentos de Seguridad (Vulnera la LOPD) 60.001€

Disponer de un servidor o ceder datos a EEUU sin aprobación de la AEPD (Vulnera la LOPD) 300.000€

Ejemplos comunes de sanciones

Enero 2012 / 13

Profundo desconocimiento sobre la L.O.P.D.

Desconocimiento de las medidas de seguridad.

Inversión en tiempo y dinero en conocer obligaciones.

Tener conocimientos de la filosofía de la Ley e incorporarla a la cultura de la empresa.

Muchas soluciones no completas de empresas no especializadas.

¿Qué hacer ante posibles inspecciones de la A.E.P.D.?

Problemática para la Empresa

Enero 2012 / 14

IMPLANTACIÓN DE UN SERVICIO PERSONALIZADO DE

ADAPTACIÓN A LA L.O.P.D.

La solución

Enero 2012 / 15

Especialización Personalización

Experiencia Insp

eccio

nes

Formación Facilidad

Resp

onsa

ble Asesoría

En Coprodatos existe un equipo ESPECIALIZADO exclusivamente en Protección de Datos y formación.

INSPECCIONES superadas.

Servicio PERSONALIZADO, presencial y adecuado a cada organización.

FORMACIÓN a los empleados en tratamiento de datos y medidas de seguridad.

Adaptación de cada cliente en particular FACILITANDO al máximo los trámites necesarios para su adecuación a la ley.

Guía la función del RESPONSABLE DE SEGURIDAD (controles periódicos y respuesta a las solicitudes del ejercicio de los derechos de los afectados).

Varios años de EXPERIENCIA en el sector.

ASERORÍA TÉCNICA ante inspecciones, reclamaciones o denuncias.

Servicios

Enero 2012 / 16

Análisis de la información actual para definir su nivel de seguridad.

Revisión de sus medidas de seguridad.

Inscripción de ficheros en el Registro de la AEPD.

Informe técnico organizativo y redacción del documento de seguridad.

– Funciones de Responsable de Seguridad.– Desarrollo de procedimientos, derechos, soportes, incidencias, etc…– Definición de funciones del personal y perfiles de ficheros.– Redacción de los Documentos de confidencialidad, tratamiento de

datos y otras circulares.

Implantación - Servicio de Consultoría (1)

Nota: en aplicación de la norma UNE-ISO/IEC 17799 de seguridad de la información

Enero 2012 / 17

Legalización de la empresa ante la AEPD.

Propuesta de medidas técnicas.

Auditoria para niveles Medio y Alto.

Actualización de la Documentación.

Asesoramiento técnico ante la AEPD.

Curso de formación para empleados de cómo tratar los datos.

Implantación - Servicio de Consultoría (2)

Nota: en aplicación de la norma UNE-ISO/IEC 17799 de seguridad de la información

Enero 2012 / 18

Además de la adecuación a la LOPD realizada por SeproDatos,

mediante nuestra formación, todas las personas implicadas en el

tratamiento de datos de carácter personal obtienen los

conocimientos necesarios para garantizar el correcto cumplimiento

de la Ley Orgánica de Protección de datos en su organización.

Bonificación a las Empresas

Esta formación puede ser bonificable a través de la Fundación para la Formación en el

Empleo, si los trabajadores en alta en el Régimen General de la Seguridad Social de

la empresa realizan en tiempo y forma los cursos de formación contratados.

Enero 2012 / 19

SeproDatos tras realizar un estudio de cada caso, confeccionará un presupuesto personalizado, evaluando las características de cada Organización y verificando si es susceptible de algún tipo de subvención.

Precios adecuados a cada escenario Empresarial

Enero 2012 / 20

Derechos de los interesados – Derechos ARCO La ley establece los Derechos ARCO para los titulares de los datos de carácter personal, que son el

conjunto de acciones a través de las cuales una persona física puede ejercer el control sobre sus datos.

Derecho de Acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

Derecho de Rectificación: es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

Derecho de Cancelación: el ejercicio de este derecho dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos.

Derecho de Oposición: es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

– Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.

– Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos por la normativa, cualquiera que sea la empresa responsable de su creación.

– Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal, en los términos previstos por la normativa.

Estos derechos presentan las siguientes características: Son derechos personalísimos. Sólo pueden ser ejercitados por el afectado, el representante legal

del afectado y el representante voluntario del afectado. Son derechos independientes. No puede entenderse que el ejercicio de uno de ellos sea requisito

previo para el ejercicio de otro. Son derechos gratuitos. Su ejercicio no puede suponer un ingreso adicional para el Responsable

del fichero o tratamiento.

Enero 2012 / 21

Implicaciones LOPD en SEPRODATOS El cumplimiento de la LOPD conlleva una serie de obligaciones para garantizar la

protección de los datos personales tanto de profesionales y miembros de la organización como de los clientes con los que colaboramos. SeproDatos, como Responsable del fichero o tratamiento (datos de profesionales, clientes..) realiza las siguientes actividades:

Identifica, clasifica y trata los datos personales bajo su responsabilidad, estableciendo las medidas de seguridad aplicables a los datos según su naturaleza y la finalidad de su uso (mantenimiento de la relación laboral con los profesionales, gestión de la relación comercial con clientes y proveedores).

Atiende y gestiona los Derechos ARCO de los interesados, que pueden ejercitarse en la dirección  info@coprodatos.com.

Define y divulga las funciones y obligaciones del personal en relación con el uso y tratamiento de los datos personales.

Establece las medidas técnicas y organizativas necesarias para asegurar que la gestión de los datos personales se realiza de conformidad con la legislación vigente, proporcionando los recursos necesarios para ello: establece políticas de asignación de contraseñas, copias de seguridad, gestión de soportes, control de accesos,...etc.

SeproDatos, en la relación con nuestros clientes, se configura como Encargado del tratamiento, cumpliendo con las obligaciones pactadas con el Responsable del fichero o tratamiento (nuestro cliente). Para ello se debe asegurar la confidencialidad de los datos tratados, la no comunicación de los datos personales a terceros, la adopción de las medidas de seguridad que sean de aplicación a los datos y la devolución o destrucción de los datos tratados al finalizar la relación contractual con el cliente.

Enero 2012 / 22

Gracias