Ley Orgánica de Protección de Datos (LOPD)

V&H Enginyers ConsultorsNúria Ribas [email protected] 1

¿Cómo nos afecta la Ley Orgánica de

Protección de Datos (LOPD)?

18 de marzo de 2011V&H Enginyers Consultors SCCL

Passatge El Miró 7 08304 Mataró

tel. 93.757.48.24

www.vhec.net


Índice presentación

• Ley Orgánica 15/1999, de Protección de Datos

• Conceptos

• Principios de la protección de datos

• Derechos y acciones por parte del interesado

• Obligaciones de los Responsables de los ficheros

• Agencia Española de Protección de Datos

• Incumplimiento de la Ley

• Esquema implantación LOPD


Ley Orgánica 15/1999, de Protección de Datos

Objeto:La protección de las libertades públicas y los derechos fundamentales de las personas físicas, especialmente el honor y la intimidad personal y familiar, en relación con el tratamiento de datos de carácter personal.

Ámbito de aplicación:Se aplica a los datos de carácter personal registrados en un soporte físico, que posibilite su tratamiento y las haga susceptibles de utilización posterior por entidades públicas o privadas, (quedan excluidos los

ficheros de datos mantenidos por personas físicas para uso exclusivamente personal o doméstico).


Conceptos

Datos personales:

Cualquier información relativa a una persona físicaidentificada o identificable, numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de ser recogida, registrada, tratada o transmitida.

Fichero:

Conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, conservación, organización o acceso.

Básicos


Conceptos

Fuentes accesibles al público:Se consideran el censo proporcional, los repertorios telefónicos y las listas de personaspertenecientes a colectivos profesionales, asícomo los diarios y boletines oficiales y los medios de comunicación.

Disociación: Tratamiento de los datos de carácter personal de forma que la información obtenida no pueda asociarse a persona identificada o identificable.

Tratamiento de datos


Conceptos

Responsable del fichero: Persona física o jurídica, pública o privada, que decida sobre la finalidad, uso y contenido de un fichero de datos de carácter personal.

Responsable de seguridad:Persona física designada formalmente por el Responsable del fichero para coordinar y controlar las medidas de seguridadaplicables a ficheros de datos de carácter personal.

Encargado del tratamiento: Persona física o jurídica, pública o privada, que trata los datosde carácter personal por cuenta del responsable del fichero.

Administrador del sistema: Profesional técnico informático, encargado de administrar o mantener el entorno operativo del fichero.

Personas que intervienen


AsociaciónX

Gestoría

Informático

Responsable del Fichero

Encargado del Tratamiento

Proveedor de servicios

Conceptos

Contrato ANota: también tengo proveedor B

Contrato B

Ejemplo 1: Fichero de RRHH


AsociaciónX

Generalitat

Informático

Responsable del Fichero

Encargado del Tratamiento

Proveedor de servicios

Contrato ANota: también tengo proveedor B

Contrato B

Cesión a terceros(≠ finalidad)

Con permiso

Ejemplo 2: Fichero de Alumnos (cursos SOC)

Conceptos


Conceptos

Identificación: Procedimiento de reconocimiento de la identidad de un usuario.

Autenticación:Procedimiento para comprobar la identidad de un usuario.

Control de acceso: Mecanismo que permite acceder a datos personales previa identificación del usuario.

Accesos autorizados: Autorizaciones concedidas a un usuario identificado para acceder a determinados datos personales.

Medidas de seguridad


Principios de la protección de datos

� Los datos recogidos serán adecuados, pertinentes y no excesivos en relación al ámbito y finalidad determinados, explícitos y legítimos para los que se hayan recogido.

� El tratamiento de los datos requiere el consentimiento inequívoco de la persona a la que se refieren.

� El responsable del fichero de datos está obligado a adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, y tratamiento o acceso no autorizados.

� Cualquier persona que intervenga en el tratamiento de los datos estáobligada al secreto profesional sobre las mismas.

� Los datos personales sólo podrán comunicar a un tercero para el cumplimiento de fines directamente relacionados con las funciones de la entidad que las comunica y de la entidad que las recibe, siempre con el consentimiento previo del interesado.


Derechos y acciones por parte del interesado

• Derecho de información en la recogida de datos

• Consentimiento del afectado

• Datos especialmente protegidos

• Derecho de consulta pública y gratuita en el Registro general de protección de datos

• Derecho a indemnización

• Derechos ARCO

– Acceso (obtener información)

– Rectificación (modificar datos)

– Cancelación (no cancela los datos; los bloquea)– Oposición (no tratamiento de los datos)

Consentimiento informado


Cesión a terceros

Consentimiento informado

Agencia de viajes

Persona que quiere hacer un crucero

Permiso

Información

Finalidad A

Encargo

Pidiendo permiso

Finalidad B

Contrato

Derechos y acciones por parte del interesado


Obligaciones del Responsable de los ficheros

1. Inscripción de los ficheros

2. Legitimación de los datos y respeto de los derechos de los titulares

3. Elaboración del documento de seguridad

4. Aplicación de las medidas de seguridad

5. Deber de guardar secreto


� Las personas físicas o entidades privadas que quieran crear un fichero de datos personales deben hacer una notificaciónde la existencia del fichero en la AEPD, mediante los formularios oficiales publicados al efecto.

� El Director de la AEPD a instancia del Registro General de Protección de Datos, acordará la inscripción del fichero, o bien otorgará un plazo para cumplimentar o rectificar el formulario presentado.

� El Registro notificará la inscripción al responsable del fichero.

� Mediante comunicación a la AEPD se pueden modificar o cancelar las inscripciones de ficheros.

Notificación y inscripción de los ficheros



� Las personas a las que se solicitan datos personales deben ser informadas de:

a) la existencia del fichero de datos, la finalidad de recogida de los datos y los destinatarios de la información solicitada;

b) del carácter obligatorio o facultativo de la aportación de los datos solicitados y de las consecuencias de la obtención de las mismas o de la negativa a facilitarlos;

c) la posibilidad de ejercer sus derechos ARCO;

d) la identidad del responsable del tratamiento de los datos.

Legitimación de los datos



Agencia Española de Protección de Datos

Funciones

• Velar por el cumplimiento de la legislación

• Controlar su aplicación

• Atender las peticiones y reclamaciones

• Ejercer la potestad sancionadora (autofinanciación)

• Potestad de inspección

Es una entidad de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con independencia de las administraciones públicas en el ejercicio de sus funciones.

��

En Cataluña hay la Autoridad Catalana de Protección de Datos ��


Incumplimiento de la Ley

Tipo de infracciones (Art. 44 LOPD)

600.000 €a300.001deMolt greus

300.000 €a60.001deGreus

60.000 €a600deLleus

• La prescripción de las faltas es de un año para las leves, dos años para las graves y tres años para las muy graves.

• El procedimiento sancionador (regulado en el RD 1720/2007) se inicia siempre por parte de la Agencia de Protección de Datos, que puede actuar por iniciativa propia o por denuncia de particulares afectados.

��

600.000 €a300.001deMuy graves

300.000 €a40.001deGraves

40.000 €a900deLeves


Esquema de Protección de DCP

1. Obligatoria para todas las empresasLOPD 15/1999

RD Medidas seguridad 1720/07

3. Inscripció n de ficheros

10. Y después mantenerlo implantado

7. Ajustes en la seguridad de los sistemas, aprobación definitiva del

manual de seguridad, por parte de la propia empresa

9. Auditoria de seguridad

4. Análisis de la situación actual

5. Elaboración del borrador delmanual de seguridad según NIVEL

2. Identificación y clasificación de ficheros :BÁSICO, MEDIO y ALTO

6. Elaboración de formularios :Legitimación, Outsourcing, Derechos

afectados

C o n t e n i d o d e l M a n u a l /

D o c u m e n t o d e S e g u r i d a d D S . 0 0 . 0 0

Í n d i c e F e c h a : H o j a : 1 / 1 C ó d i g o T i p o d o c . N o m b r e d e l d o c u m e n t o R e v . F e c h a D S . 0 1 . 0 0 I n t r o d u c c i ó n y c l a s i f i c a c i ó n d e l f i c h e r o 0 D S . 0 1 . 0 1 D e f i n i c i o n e s 0 D S . 0 1 . 0 2 I d e n t i f i c a c i ó n d e l R e s p o n s a b l e d e S e g u r i d a d D S . 0 1 . 0 3 I d e n t i f i c a c i ó n d e l R e s p o n s a b l e d e l F i c h e r o D S . 0 1 . 0 4

I d e n t i f i c a c i ó n d e l p e r s o n a l c o n a c c e s o a l o s d a t o s d e c a r á c t e r p e r s o n a l

D S . 0 1 . 0 5 F u n c i o n e s y o b l i g a c i o n e s d e l p e r s o n a l

D S . 0 1 . 0 6

E s t r u c t u r a d e l f i c h e r o , d e s c r i p c i ó n d e l s i s t e m a d e i n f o r m a c i ó n y s e r v i c i o s d o n d e s e p u e d e n e j e r c i t a r l o s d e r e c h o s d e l i n t e r e s a d o

D S . 0 2 . 0 0 Á m b i t o d e a p l i c a c i ó n d e l D o c u m e n t o 0 D S . 0 2 . 0 1 I n v e n t a r i o ( H a r d w a r e y u b i c a c i o n e s ) D S . 0 2 . 0 2 U b i c a c i ó n d e l M a t e r i a l I n v e n t a r i a d o D S . 0 2 . 0 3 I n v e n t a r i o S o f t w a r e d e d e s a r r o l l o i n t e r n o 0 D S . 0 2 . 0 4 I n v e n t a r i o S o f t w a r e d e d e s a r r o l l o e x t e r n o 0 D S . 0 2 . 0 5 I n v e n t a r i o S o f t w a r e C o m e r c i a l D S . 0 2 . 0 6 I n v e n t a r i o d e B a s e s d e D a t o s D S . 0 2 . 0 7 D e s c r i p c i ó n d e l S i s t e m a d e I n f o r m a c i ó n D S . 0 2 . 0 8 P r e s t a c i ó n d e S e r v i c i o s D S . 0 3 . 0 0 M e d i d a s , N o r m a s , P r o c e d i m i e n t o s , R e g l a s y E s t á n d a r e s D S . 0 3 . 0 1

P o l í t i c a d e S e g u r i d a d G e n e r a l d e S e g u r i d a d d e l a i n f o r m a c i ó n

D S . 0 3 . 0 2 P o l í t i c a d e S e g u r i d a d d e P r o t e c c i ó n d e D a t o s d e c a r á c t e r p e r s o n a l

D S . 0 3 . 0 3 C l a s i f i c a c i ó n d e l a i n f o r m a c i ó n D S . 0 3 . 0 4 I n f o r m a c i ó n a l o s e m p l e a d o s D S . 0 3 . 0 5 P r o c e d i m i e n t o d e I d e n t i f i c a c i ó n y A u t e n t i c a c i ó n D S . 0 3 . 0 6 R e g i s t r o s d e A c c e s o s D s . 0 3 . 0 7 P r o c e d i m i e n t o d e p u e s t a a l d í a d e l D o c u m e n t o D S . 0 3 . 0 8 P e r s o n a l A d m i n i s t r a d o r d e A c c e s o s D S . 0 3 . 0 9 P r o c e d i m i e n t o d e G e s t i ó n e I n v e n t a r i o d e S o p o r t e s D S . 0 3 . 1 0 P r o c e d i m i e n t o s d e D e s e c h o d e S o p o r t e s D S . 0 3 . 1 1

P r o c e d i m i e n t o d e n o t i f i c a c i ó n , G e s t i ó n y R e s p u e s t a a n t e l a s i n c i d e n c i a s

D S . 0 3 . 1 3 P r o c e d i m i e n t o d e l c o n t r o l d e l c u m p l i m i e n t o D S . 0 3 . 1 4 P r o c e d i m i e n t o d e a u d i t o r i a s d e l S i s t e m a D S . 0 3 . 1 5 P r o c e d i m i e n t o d e C o n t r o l d e A c c e s o s F í s i c o s D S . 0 3 . 1 6 P e r s o n a l A u t o r i z a d o A c c e s o F í s i c o D S . 0 3 . 1 7 P r o c e d i m i e n t o d e C o p i a s d e R e s p a l d o D S . 0 3 . 1 8 P r o c e d i m i e n t o d e R e c u p e r a c i ó n D S . 0 3 . 2 0 P r o c e d i m i e n t o d e P r u e b a s c o n d a t o s r e a l e s D S . 0 3 . 2 1

P r o c e d i m i e n t o d e G e s t i ó n y C o n t r o l d e n o m b r e d e u s u a r i o y c l a v e s

8. Formación interna

IMPLANTACIÓN

LOPD


Gracias por vuestra atención

V&H Enginyers Consultors SCCL

Passatge El Miró 7 08304 Mataró

tel. 93.757.48.24

www.vhec.net

Núria Ribas [email protected]

Business

Ley Orgánica de Protección de Datos (LOPD)