www.apdasesores.com

El Autónomo y la PYME ante la

normativa de protección de datos. Obligaciones y Sanciones

Antonio Salguero

Para:

www.apdasesores.com

LA PROTECCIÓN DE DATOS

(L.O.P.D.)

www.apdasesores.com

www.apdasesores.com

LA NECESIDAD

EXISTE UNA GRAN Y URGENTE NECESIDAD DE ADECUAR LAS EMPRESAS Y AUTÓNOMOS A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE

CARÁCTER PERSONAL

www.apdasesores.com

www.apdasesores.com

¿LE AFECTA A USTED ESTA LEY?

Quizás piense Usted que por ser una Pequeña Empresa, o por ser Autónomo o una Comunidad de Propietarios, o por

la razón que sea, esta Ley (de 1999, y Reglamento de diciembre de 2007),

NO LE AFECTA, QUE NO VA CON USTED …

www.apdasesores.com

Test de sanciones

1. ¿Tiene Vd. algún fichero informático o informático

(Excel, Access, Word, libreta direcciones, etc.) o no

informático en el que se recojan datos de personas

físicas (nombre, apellidos, dirección, etc.)?

Sí No

2. ¿Ha dado de alta esos ficheros en la Agencia Estatal de

Protección de Datos?

Sí No

www.apdasesores.com

3. ¿Ha firmado con su asesoría fiscal y laboral y jurídica

y empresa informática un contrato que regule la

responsabilidad por el acceso a datos personales?

Sí No

4. ¿Ha adoptado Vd. las medidas de seguridad obligatorias

respecto a tratamiento de incidencias, copias de

seguridad, identificación de usuarios, gestión de

soportes, etc?

Sí No

www.apdasesores.com

5. ¿Ha informado a sus trabajadores y/o usuarios de los

datos que maneja su Empresa, en papel o

informáticamente, de cuáles son sus derechos y cuáles

sus obligaciones en relación a la normativa de

protección de datos personales?

Sí No

6. ¿Ha redactado un Documento de Seguridad en el que se

especifiquen las medidas de seguridad adoptadas por su

empresa para cumplir con la legislación sobre protección

de datos?

Sí No

www.apdasesores.com

7. ¿Sabría Vd. cómo reaccionar ante una petición de

acceso a los datos que se contienen en sus ficheros?

Sí No

www.apdasesores.com

NOTA:

La finalidad del presente cuestionario es exclusivamente la de proporcionar una estimación indicativa de las sanciones que pueden originar determinados incumplimientos de la normativa sobre protección de datos personales.

Ni su planteamiento ni su resultado prejuzgan situaciones específicas, para cuyo examen sería necesario un conocimiento mayor del caso concreto.

www.apdasesores.com

Test de sanciones (resultado)

1) ¿Tiene Ud. algún fichero informático o no informático (excel, access, word, libreta direcciones, etc.) o no informático en el que se recojan datos de personas físicas (nombre, apellidos, dirección, etc.)?

Sí, tenemos ficheros informáticos y no informáticos en los que se recogen datos de personas físicas.

www.apdasesores.com

2) ¿Ha dado de alta esos ficheros en la Agencia de Protección de Datos?

No.

A continuación se transcribe el artículo en relación con la infracción.

www.apdasesores.com

Art. 44.2.c) LOPD:

No inscribir un fichero es infracción leve (601 € a 60.101

€) pero puede calificarse como muy grave (art. 44.4.i) si

sistemáticamente se ignora esta obligación (300.506 € a

601.012 €).

www.apdasesores.com

3) ¿Ha firmado con su asesoría fiscal o laboral y empresa

informática un contrato que regule la responsabilidad por

el acceso a datos personales?

No.

A continuación se transcribe el artículo en relación con la

infracción.

www.apdasesores.com

Art. 44.3.d) LOPD:

Tratar los datos con conculcación de las garantías legales

constituye infracción grave (60.101 € a 300.506 €).

www.apdasesores.com

4) ¿Ha informado a sus trabajadores y/o usuarios de los

datos que maneja su Empresa, en papel o

informáticamente de cuáles son sus derechos y cuáles sus

obligaciones en relación a la normativa de protección de

datos personales?

No.

A continuación se transcribe el artículo en relación con la

infracción.

www.apdasesores.com

Art. 44.2.d) LOPD:

Proceder a la recogida de datos de carácter personal de los propios

afectados sin proporcionarles la información que señala el artículo 5 de

la Ley constituye infracción leve (601 € a 60.101 €).

www.apdasesores.com

En relación con este punto, lo más importante es que, si no se le señalan al trabajador cuáles son sus

obligaciones en relación a la normativa de protección de datos, por un lado la Agencia puede llegar a entender que

la Empresa está incumpliendo las debidas medidas de seguridad, lo que constituiría una infracción grave

(60.101 € a 300.506 €), y, por otro lado, no se le podrá exigir responsabilidad alguna al trabajador en cuestión si la Empresa es sancionada por una conducta de aquél contraria a la normativa de protección de datos, puesto

que no se le informó a éste en su momento debidamente de sus obligaciones en la materia.

www.apdasesores.com

4) ¿Ha adoptado Vd.. las medidas de seguridad

obligatorias respecto a tratamiento de incidencias, copias

de seguridad, identificación de usuarios, gestión de

soportes, etc?

No.

A continuación se transcribe el artículo en relación con la

infracción.

www.apdasesores.com

Art. 44.3.h) LOPD:

Mantener los ficheros, locales, programas o equipos que

contengan ficheros sin las debidas medidas de seguridad

constituye infracción grave (60.101 € a 300.506 €).

www.apdasesores.com

5) ¿Ha redactado un documento de seguridad en el que se

especifiquen las medidas de seguridad adoptadas por su

empresa para cumplir con la legislación sobre protección

de datos?

No.

A continuación se transcribe el artículo en relación con la

infracción.

www.apdasesores.com

Art. 44.3.d) LOPD:

Tratar los datos con conculcación de las garantías legales

constituye infracción grave (60.101 € a 300.506 €).

www.apdasesores.com

6) ¿Sabría Vd.. cómo reaccionar ante una petición de

acceso a los datos que se contienen en sus ficheros?

No.

A continuación se transcribe el artículo en relación con la

infracción.

www.apdasesores.com

Art. 44.3.e) LOPD:

Obstaculizar el ejercicio del derecho de acceso o no

facilitar la información solicitada constituye infracción

grave (60.101 € a 300.506 €); hacerlo de forma

sistemática (Art. 44.4.h) constituye infracción muy grave

(300.506 € a 601.012 €).

www.apdasesores.com

NOTA SOBRE EL RESULTADO

Probablemente se habrá sorprendido Vd.. del importe al

que pueden ascender las sanciones. Ello se debe a que

nuestra legislación sobre protección de datos es de las

más duras del entorno europeo en materia

sancionatoria. Sólo en el año 2000 la Agencia de

Protección de Datos impuso sanciones por importe de

más de 12 millones de euros (casi dos mil millones de

pesetas). Y en el 2005, más de 20 millones de euros. Y

más de 22 en el 2006…

www.apdasesores.com

Obligaciones Legales

de la Normativa de Proyección de Datos (I)

OBLIGACIONES LEGALES DE LA

NORMATIVA DE PROTECCIÓN DE

DATOS:

L.O.P.D. y REGLAMENTO -Real Decreto

1720/2007, de 21 de diciembre.)

www.apdasesores.com

Obligaciones Legales

de la Normativa de Proyección de Datos (II)

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), y su normativa de desarrollo (Real Decreto 1720/2007, de 21 de diciembre, que entrara en vigor el 19 de abril de 2008, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal,), obliga a la adopción de las medidas de seguridad técnicas y organizativas que correspondan al tipo de datos personales contenidos en los ficheros.

www.apdasesores.com

OBLIGACIONES LEGALES (I)

Inscripción de los ficheros en el Registro General de la Protección de Datos. Artículo 26 LOPD.

Redacción de los Documentos de Seguridad. "El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información" (Real Decreto 1720/2007, de 21 de diciembre)

www.apdasesores.com

OBLIGACIONES LEGALES (II)

Redacción de cláusulas de protección de datos. Artículo 5 LOPD:

Auditoría. (Real Decreto 1720/2007, de 21 de diciembre).

Demás medidas de seguridad de índole técnica y organizativas necesarias para garantizar la seguridad de los datos objeto de tratamiento. Artículos 9 y 10 LOPD y Real Decreto 1720/2007, de 21 de diciembre.

Redacción de los contratos, formularios y cláusulasnecesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.

www.apdasesores.com

NIVELES DE SEGURIDAD

La ley identifica tres niveles de medidas

de seguridad, BÁSICO, MEDIO y ALTO,

los cuales deberán ser adoptados en

función de los distintos tipos de datos

personales (datos de salud, ideología,

religión, creencias, infracciones

administrativas, de morosidad, etc).

www.apdasesores.com

MÍNIMOS EXIGIDOS

Cada uno de estos niveles tiene la

condición de mínimos exigibles sin

prejuicio de las disposiciones legales o

reglamentarias especificas vigentes.

Cada una de las medidas de seguridad

de cualquier nivel es aplicable además

a las de nivel superior.

www.apdasesores.com

NIVEL BÁSICO TIPO DE DATOS (I)

Nombre

Apellidos

Direcciones de contacto (tanto físicas

como electrónicas)

Teléfono (tanto fijo como móvil)

Nº cuenta corriente

Otros

www.apdasesores.com

NIVEL BÁSICO TIPO DE DATOS (II)

datos identificativos,

características personales,

circunstancias sociales,

académicos y profesionales,

empleo y carrera administrativa,

información comercial...

www.apdasesores.com

NIVEL BÁSICO

Medidas de Seguridad Obligatorias

Documento de seguridad

Régimen de funciones y obligaciones del personal

Registro de incidencias, Identificación y autenticación de usuarios

Control de acceso

Gestión de soportes

Copias de respaldo y recuperación

www.apdasesores.com

NIVEL MEDIO TIPO DE DATOS (I)

Comisión infracciones penales

Comisión infracciones administrativas

Información de Hacienda Pública

Información de servicios financieros

www.apdasesores.com

NIVEL MEDIO TIPO DE DATOS (II)

datos de nivel básico que permitan

obtener un perfil de la persona,

datos sobre infracciones penales y

administrativas, datos de Hacienda,

de servicios financieros, de

solvencia patrimonial y crédito.

www.apdasesores.com

NIVEL MEDIO

Medidas de Seguridad Obligatorias

Medidas de seguridad de nivel básico

Responsable de Seguridad

Auditoría bianual

Medidas adicionales de Identificación y autenticación de usuarios

Control de acceso físico

Medidas adicionales de gestión de soportes

Registro de incidencias

Pruebas sin datos reales

www.apdasesores.com

NIVEL ALTO TIPO DE DATOS (I)

Ideología

Religión

Creencias

Origen racial

Salud-Vida

www.apdasesores.com

NIVEL ALTO TIPO DE DATOS (II)

datos sobre la ideología,

creencia, religión, origen racial,

salud, vida sexual y datos

recabados con fines policiales.

www.apdasesores.com

NIVEL ALTO

Medidas de Seguridad Obligatorias

Medidas de seguridad de nivel básico y

medio

Seguridad en la distribución de soportes

Registro de accesos

Medidas adicionales de copias de

respaldo

Cifrado de telecomunicaciones

www.apdasesores.com

Qué derechos otorga la Normativa de

Protección de Datos a los Usuarios? (I)

Derecho de información. Artículo 5 LOPD.

Necesidad de solicitud de su

consentimiento. Artículo 6 LOPD.

La impugnación de valoraciones Artículo

13 LOPD.

Derecho de consulta al Registro General

de Protección de Datos Artículo 14 LOPD.

www.apdasesores.com

Qué derechos otorga la Normativa de

Protección de Datos a los Usuarios? (II)

Derecho de acceso, rectificación y

cancelación de datos Artículos 15, 16 y 17

LOPD.

Derecho de oposición. Artículo 17 LOPD.

Tutela de los derechos. Artículo 18 LOPD.

Derecho de indemnización. Artículo 19

LOPD

www.apdasesores.com

DERECHOS DE ACCESO (I)

El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se puedan realizar. La consulta podrá hacerse por una mera visualización o indicando los datos objeto de tratamiento mediante escrito, copia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o código que requieran el uso de dispositivos mecánicas específicas.

Este derecho podrá ser ejercitado como máximo una vez cada 12 meses, salvo que se acredite un interés legítimo.

www.apdasesores.com

DERECHOS DE ACCESO (II)

El ejercicio de este derecho será de forma gratuita mediante solicitud o petición dirigida al responsable del fichero, formulada mediante cualquier medio que garantice la identificación del afectado (D.N.I. u otro medio análogo), y en la que conste el fichero o ficheros a consultar.

La petición deberá contener el domicilio a efectos de notificaciones, fecha y firma.

El interesado, deberá utilizar cualquier medio que permita acreditar el envío y recepción de la solicitud.

www.apdasesores.com

Derecho de rectificación y cancelación (I)

Es la facultad o capacidad del afectado por la que puede instar al responsable del fichero a cumplir con la obligación de mantener la exactitud de los datos, rectificando o cancelando los datos de carácter personal que resulten inadecuados o excesivos, en su caso, o cuyo tratamiento no se ajuste a la Ley.

Es un derecho cuyo ejercicio es gratuito. Se ejercerá mediante solicitud o petición al responsable del fichero, mediante cualquier medio que garantice la identificación del afectado (p.e. D.N.I.) y en la que consten los datos que hay que cancelar o rectificar y el/los fichero/s en que se encuentran.

www.apdasesores.com

Derecho de rectificación y cancelación (II)

La petición deberá contener un domicilio a efectos de notificaciones, fecha, firma del solicitante, y acompañar fotocopia del D.N.I. Además indicará el dato que es erróneo, y la corrección que debe realizarse junto con la documentación que justifique la rectificación, salvo que la misma dependa exclusivamente del consentimiento del interesado.

En el caso de cancelación deberá expresar la revocación al consentimiento otorgado.

www.apdasesores.com

Derecho de oposición (I)

Es para los casos en que no es necesario el

consentimiento del afectado para el tratamiento

de los datos de carácter personal, y siempre

que una Ley no disponga lo contrario, éste

podrá oponerse a su tratamiento cuando existan

motivos fundados y legítimos relativos a una

concreta situación personal.

En tal supuesto el Responsable del Fichero

excluirá del tratamiento los datos del afectado.

www.apdasesores.com

Derecho de oposición (II)

Los interesados podrán oponerse previa petición, y sin gastos, al tratamiento de datos que les concierna, en cuyo caso se dará de baja del tratamiento, cancelándose la información que sobre ellos figuren en aquél.

Para su mayor comodidad le informamos que usted dispone de modelos para poder ejercitar sus derechos, los cuales puede solicitar a esta Empresa, u obtener de la web de Agencia de Protección de Datos, cuya dirección es la siguiente:

https://www.agpd.es

www.apdasesores.com

Muchísimas gracias por su atención y recuerden la siguiente diapositiva…

www.apdasesores.com

INFORMACIÓN EN LA WEB

www.apdasesores.com

www.agpd.es

www.apdasesores.com

www.apdasesores.com

El Autónomo y la PYME ante la

normativa de protección de datos. Obligaciones y Sanciones

Antonio Salguero

Para: