Curso Resumen LOPD Auditores

Curso Resumen LOPD/LSSI


Curso Resumen

LOPD / LSSI-CECurso Resumen

LOPD / LSSI-CE

Jesús Fernández Abad - Junio 2011



¿QUIÉNES SOMOS?

Desde Save & Quality, ayudamos al Profesional Auditor y a las Firmas de Auditoría de mediano y pequeño tamaño en el desempeño de sus funciones, asesorándole con la solución más adecuada.

www.save-quality.es

� Control de Calidad Interno del Auditor.�Ayuda en el Desarrollo de la Auditoria.�Adecuación y Optimización de tiempos y honorarios.� Evaluación del entorno informático.� Formación

- Servicios:

�



1- ANTECEDENTESInicio Europeo Normativa, LORTAD, Principio fundamental y Proceso Español de la normativa.La LOPD (Ley Orgánica de Protección de Datos de Carácter Personal) y su Reglamento RLOPD

2- DEFINICIONES- Datos de Carácter Personal, Fichero, Niveles y tipo de datos, Responsable del Fichero, Resp. de Seguridad.- Afectado/interesado, Tratamiento de datos por cuenta de Terceros, Cesión de Datos.

3- OBLIGACIONES- Inscripción ficheros, Documento de Seguridad, libro de incidencias, aviso legal, contratos- Sistemas informáticos, procesos y procedimientos, deber de informar.- Infracciones y Sanciones.

4- RESPONSABILIDAD- Recogida de Datos (Calidad, Derecho de información, Consentimiento del afectado).- Tratamiento de Datos (Datos especialmente protegidos, Datos relativos a la salud, Seguridad de los datos, Deber de secreto, Comunicación de los datos, Acceso por cuenta de Terceros).- Obligaciones Administradores y responsables y Obligaciones de los usuarios.- Niveles de Seguridad y medidas a adoptar.

5- AEPD (Agencia Española de Protección de Datos)- Notificación e Inscripción, Modificaciones y Bajas.- Documento de Seguridad y Contenido.

6- LSSI-CE (Ley de Servicios de la Sociedad de la Información)- Obligaciones e información exigida.- Prohibiciones en comunicaciones comerciales y Derechos de los destinatarios.- Infracciones y Sanciones.

AGENDA

�



[email protected]

1- Antecedentes

LOPD - Ley Orgánica de Protección de Datos



Fechas Clave NormativaComo resumen al proceso de implantación de la normativa, debemos conocer:

- Europa

En 7-Octubre-1970se publicó en Alemania, la primera normativa.

En 1978y 1986fue modificada dos veces, y el 1-jun-1991 entró en vigor

En 1981 en el Convenio del Consejo de Europa, y en el acuerdo de Schenger de1985, se estableció que cada país debía adoptar disposiciones nacionalespara conseguir un nivel de protección de los datosde carácter personal, y se obligabaa los países firmantes, a tener una Ley de Protección de Datos.

- España

29-Oct-1992se publica la LORTAD (Ley Orgánica de Tratamiento Automatizado de Datos)13-Dic-1999 se publicó la actual LOPD (Ley Orgánica de Protección de Datos 15/1999)19-enero-2008entra en vigor el RDLOPD (nuevo reglamento RD 1720/2007)1-enero-2010,es de obligado cumplimiento estar adaptado, para todas las empresas y autónomos5-Marzo-2011, se modificanartículos del régimen sancionador de la LOPD

Antecedentes

�



- Objetivo de la LOPD

Regular por Ley, el “tratamiento de los ficheros con datos de carácter personal”, de forma independiente al tipo de soporte en que sean tratados o almacenados:

� Estableciendo “los derechos que los ciudadanos“ tienen sobre ellos, � Definiendo “las obligaciones que las empresas“ que almacenan y tratan esos datos, deben cumplir.

- Objetivo del Reglamento RLOPD

Desarrollar y establecer los principios de la Ley Orgánica y las medidas de seguridad que se deben aplicar a los datos:

�Estableciendo las normas y procedimientos para el almacenamiento/uso de los datos.�Definiendo los plazos para adaptar las empresas a la Leysegún los tipos de datos que se manejan.

Antecedentes

�



[email protected]

2- Definiciones




¿Qué son Datos de Carácter Personal?Art. 3 de la LOPD dice:

“cualquier información concerniente a personas físicas, identificadas e identificables” Nombre, Teléfono, Foto, Video, la Voz, Dirección IP, E-mail, etc...

¿Qué es un Fichero?

Todo conjunto organizadode Datos de Carácter Personal, cualquiera que fuere la forma o modalidad de su creación o tipo de almacenamiento.

•Ficheros de:Titularidad Publica y Privada

Fichero físico:cada tabla o archivo con datos, en soporte informático o en papel.

Fichero lógico: todo conjunto de ficheros físicos, que estén relacionados con un mismo tratamiento o con una finalidad determinada.

Definiciones

�



Tipos de Datos (Niveles)

BASICO: •Aplicable a todo el resto de datos personales.*Son de nivel básico:- si los datos se utilizan con la única finalizad de realizar una transferencia dinerariadonde sean socios o miembros, - si se trata de ficheros no automatizados que de forma incidentalse almacenen sin guardar relación con su finalidad.

ALTO:•Los ficheros que contengan datos de (ideología, afiliación sindical, religión, creencias, origen racial, salud, o vida sexual)* .•Datos recabados para fines policialessin consentimiento de las personas afectadas.•Datos derivados de actos de violencia de género.

MEDIO:•Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales.•Los de Hacienda pública y servicios financieros.•Aquellos que ofrezcan una definición de las características y permitan evaluar determinados aspectos de la personalidad o el comportamiento de las personas.

Definiciones

�



¿Quién es el Responsable del fichero?Es la persona física o jurídica, que sólo o conjuntamente con otros, decide sobre la finalidad, el contenido, y su tratamiento, aunque no lo realizase materialmente.O sea, “LA EMPRESA”.

¿Quién es el Responsable de Seguridad?

La persona,a la que el responsable del fichero, encomienda y asigna formalmente la función de coordinar y controlar que se aplican las medidas de seguridadprevistas en la LEY.

La Ley exige que solo cuando se traten datos de nivel medio o alto, debe asignarse un responsable de seguridad del fichero, pero para una mayor eficacia, conviene asignar un responsable de seguridad para cada fichero declarado, y de haber varios responsables diferentes, es importante nombrar un Coordinador de Responsables de Seguridad que centralice y encauce los procedimientos.

Definiciones

�



¿Quién es el Afectadoo Interesado?La Persona físicatitular de los datos que sean objeto del tratamiento. “El Ciudadano.”

Cumplimiento Legislativo para la “Recogida y Tratamiento”

� Toda empresa, debe hacer referencia a “su cumplimiento legislativo a la LOPD”, tanto en el proceso de RECOGIDA de datos, como durante el TRATAMIENTO, CESION, COMUNICACIÓNy/o TRANSFERENCIA de los datos delAfectado.

¿Qué es el Tratamiento de Datos?Todas lasoperaciones y procedimientosde carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, o traslado, de los datos de carácter personal del afectado, así como las cesiones de datosque resulten de comunicaciones, consultas, interconexiones y transferencias de los datos de éste.

Definiciones

�



¿Qué es un Tratamiento por Cuenta de Terceros?Cuando los datos de carácter personal, son comunicados a un tercero para el cumplimiento de finesdirectamente relacionados con las funciones legítimas del cedente y del cesionario.

¿Qué es una Cesión de Datos?

Toda revelación o comunicación de datos de carácter personal, realizada a una persona o empresa distinta del interesado o afectado para un fin concreto.

Toda cesión, puede definirse como:- Consentida: cuando se ha informado y obtenido autorización del interesado.- Inconsentida: cuando no se ha informado ni obtenido autorización (Sancionable).

Definiciones

�



[email protected]

3- Obligaciones




¿Qué obligaciones marca la LOPD para “La Empresa”, como Responsable de los ficheros?

- Ante la Administración:• Identificar y registrar los ficheros que contengan datos de carácter personal en la Agencia Española de Protección de Datos.• Efectuar las modificaciones, y bajas en los ficheros.• Asignar un Responsable de Seguridad en caso de nivel medio y alto.

- Ante una inspección, es preceptivo tener correctamente adaptada:• La documentación y cláusulas informativas de recogida de información, • Los contratos laborales, y/o de las empresas de servicios que traten datos.• Los Sistemas Informáticos a los requerimientos legales, dependiendo del tipo de datos almacenados.• Los procesos y procedimientos internos de incidencias y auditorias

Obligaciones

�



Deber de Informar:- A empleados-usuarios:

• Sobre sus obligaciones y responsabilidades con el manejo de datos. • Sobre el proceso de cumplimiento de las medidas de seguridad.

- Al ciudadano o interesado:• Obtener su consentimiento previo, expreso e inequívoco de la recogida de sus datos.• Informar los fines y destinatarios para los que se recaban sus datos.• Recoger datos adecuados, pertinentes y no excesivos.• Identificar quién es el Responsable del fichero.• Informar cómo y dónde ejercer los derechos ARCO (Acceso, Rectificación Cancelación y Oposición).

• Ejecutar y contestar en tiempo y forma al Ejercicio de esos derechos

Crear y mantener actualizada la Documentación Legalmente exigida:• El Documento de Medidas de Seguridad.• El Libro de Registro de incidencias.• El Documento de obligaciones de los empleados-usuarios.• Las Auditorias especificas• Etc.

¿Qué deben cumplir los responsables de los ficheros?

Obligaciones



Motivos legalesMotivos operativos

Siendo Prácticos ¿Por qué proteger los datos?

• Productividad• Mejora procesos• Rendimiento• Desarrollo del negocio• Seguridad• Calidad• Confianza• Imagen• Etc.

• Obligatorio por Ley• Para evitar Sanciones

Obligaciones



• Los datos personales son un activo muy valioso de cada empresa:son información indispensable para el desarrollo del negocio.

• La información ordenada y controlada, ayuda a aumentar la productividad y la calidad de la empresa. En la mayoría de los casos, disponer en orden la información, ayuda a detectar problemas y oportunidades en cualquier tipo de negocio.

• Da mayor confianzay ofrece una mejor imagen, una empresaque demuestra que protege los datosde carácter personal de sus empleados, de susclientesy de susproveedores.

¿ Por qué es necesario proteger los datos?

Motivos operativos

Obligaciones

�



• La protección de datos es un derecho fundamentalde las personas, y las empresas han de cumplir las disposiciones previstas en la Ley.• Se debe respetar el derecho de los ciudadanos a ser informados y a que puedan ejercer sus derechos ARCO (Acceder, Rectificar, Cancelar y Oponerse) sobre los datos de carácter personal que de él se tienen, y se gestionan.

• El incumplimiento de la normativade dicha Ley, así como no demostrar ni tener la diligencia

necesaria al proteger dichos datos, puede acarrearle al empresario o la Empresa, Sancionesentre

900€ y 600.000€, dependiendo si la Agencia considera las irregularidades cometidas como faltas“leves, graves o muy graves”.

Motivos legales

¿ Por qué es necesario proteger los datos?

Obligaciones

�



Infracciones y Sanciones

� Responsabilidad por infracciones de Organismos Públicos:

• El director de la AEPD dictará resolución con las medidas que proceden adoptarse para que cesen los efectos de la infracción.

•Iniciación de actuaciones disciplinariassi procedieran, No hay sanciones económicas.

� Responsabilidad por infracciones de Profesionales y Empresas:

• El director de la AEPD dictará resolución y abrirá expediente sancionador.

• Los responsables de los ficheros, y los encargados de los tratamientos, estarán sujetos al régimen sancionadorestablecido en la LOPD y el RLOPD.

Obligaciones

�


Curso Resumen LOPD/LSSIObligaciones

Infracciones y sanciones LOPD 15/1999 (Artículos 43, 44 y 45)

� Faltas Leves(Sanciones entre100.000Pts-10MPts 600€ y 60.100€)•No solicitar la inscripción de los ficheros en la Agencia Española de Protección de Datos (AEPD).•No atender debidamente las solicitudes de cancelación o rectificación de datos.•No atender las consultas de la AEPD.•Recopilar o almacenar datos sin la debida autorización e información de su uso y destino.

� Faltas Graves(Sanciones entre 10Mpts-50Mpts 60.101€ y 300.506€).•Uso de los datos para finalidades distintas a las que se recopilaron.•No mantener las garantías de seguridad exigidas en la Ley.•Mantener datos inexactos o no efectuar las rectificaciones, cuando resulten afectados los derechos de las personas.•La obstrucción al ejercicio de la función inspectora.•No cumplimentar ni remitir a la AEPD las notificaciones previstas en la LOPD.

� Faltas MUY Graves(Sanciones entre 50Mpts-100Mpts 300.507€ y 601.012€).•La recogida de datos en forma engañosa.•La comunicación de los datos o la cesión inconsentida.•Recabar datos sin que medie consentimiento expreso del afectado.•Vulnerar el deber de guardar secreto sobre datos de Ideología, Afiliación Sindical, Religión y Creencias,Origen Racial, Salud y Vida Sexual.•No cesar en el uso ilegitimo de los datos tras ser requeridos.

�



NUEVAS Infracciones y sanciones –Modificación LOPD 5/3/11 (Artículos 44 y 45)

� Faltas Leves(Sanciones entre600€ y 60.100€) 900€ y 40.000€)•No remitir a la Agencia Española de Protección de Datos (AEPD) las notificaciones previstas en la Ley o en sus disposiciones.•No solicitar la inscripción de los ficheros en el Registro General de la AEPD.•El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos siendo recabados por el interesado.•La transmisión de los datos a un encargado del tratamiento sin cumplir los deberes formales establecidos en el art. 12 de la Ley.

� Faltas Graves(Sanciones entre60.101€ y 300.506€40.001€ y 300.000€) •Creación de ficheros sin inscripción previa.•Tratar datos sin recabar el consentimiento.•Tratar datos con conculcación de principios y garantías (Art.4 Calidad Datos).•Vulnerar el deber de Secreto.•El impedimento o la obstaculización al ejercicio de derechos ARCO•El incumplimiento del deber de informar si o han sido recabados del interesado •El incumplimiento de los restantes deberes de notificación o requerimiento.

� Faltas MUY Graves(Sanciones entre 300.507€ y 601.012€) 300.001€ y 600.000€) •La recogida de datos en forma engañosa.•Tratar o ceder datos especialmente protegidos.•No cesar en el uso ilegitimo de los datos tras ser requeridos.•La transferencia internacional países no seguros sin autorización AEPD

Obligaciones

• Mantener ficheros locales programas o equipos sin las debidas condiciones de seguridad.

• No atender apercibimientos de la AEPD o no proporcionar documentos solicitados.

• La obstrucción al ejercicio de la función inspectora.

• La comunicación o cesión sin legitimación.

�



Nueva Graduación de las sanciones –Modificación LOPD 5/3/11 (Artículo 45)

� La cuantía de las sanciones, se graduaran atendiendo a los criterios:

• El carácter continuado de la infracción.• El Volumen de tratamientos efectuados.• La vinculación de la actividad con la realización de tratamientos de datos.• El volumen del negocio o actividad del infractor.• Los beneficios obtenidos.• El grado de intencionalidad.• La reincidencia• La naturaleza de los perjuicios causados a las personas.• La acreditación de que con anterioridad a los hechos, se tenían implantados procedimientos adecuados.

�



[email protected]

4- Responsabilidad




La mejor forma de comprender todo lo relativo a la LOPD es usar la propia ley, como documento de referencia.

Para que no resulte tan complicado, vamos a realizar un repaso previo por los distintos principios y conceptos básicos que componen la LOPD.

Losprincipios de la protección de datos de carácter personal podemos encontrarlos en el Titulo II de la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal:

� Artíc. 4. Calidad de los datos� Artíc. 5. Derecho de información en la recogida de los datos� Artíc. 6. Consentimiento del afectado� Artíc. 7. Datos especialmente protegidos� Artíc. 8. Datos relativos a la salud� Artíc. 9. Seguridad de los datos � Artíc.10. Deber de secreto � Artíc.11. Comunicación de los datos� Artíc.12. Acceso a los datos por cuenta de terceros

Responsabilidad

Entendiendo y Cumpliendo la LOPD

�



�Art. 4 - Calidad de los datos• Los datos deben de ser adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades determinadas y legítimas para las que se hayan obtenido.

�Art. 5 – Derecho de información• Los interesados, deben ser informados de modo expreso, inequívoco y preciso

Recogida de datos de carácter personal

Responsabilidad

�Art. 6 - Consentimiento del afectado• Se debe obtener el consentimiento inequívoco del afectado, salvo Ley en contra.• El consentimiento debe ser Libre, Específico, Informado e Inequívoco



Tratamiento de datos de carácter personal

�Art. 7 – Datos Especialmente protegidos• Los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias.

Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, asociaciones, fundacionesy otras entidades sin ánimo de lucro.

Responsabilidad

�Art. 8 – Datos Relativos a la “salud”• Sólo las instituciones y centros sanitarios y los profesionales correspondientes, podrán proceder

al tratamiento de esos datos.

�Art. 9 - Seguridad de los datos• No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones de integridad

y seguridad.




�Art. 10 - Deber de Secreto (Responsable y Encargado tratamiento)• Secreto profesional respecto a los datos incluidos y prohibición de revelar a terceras personas dichos datos aun después de finalizar sus relaciones .

Responsabilidad

Los datos de carácter personal objeto de la comunicación, sólo podrán ser entregadosa un tercero para el cumplimiento de fines concretos y específicos.

Para poder realizarlo:

� Se debe obtener previamente el consentimientodel Afectado.

� El tratamiento, debe estar regulado en un contrato.

�Art. 11 – Comunicación de los Datos




�Art. 12 – Acceso a los datos por cuenta de tercerosEs cuando el acceso de un terceroa los datos, es necesario para realizar la prestación de un servicio concreto al responsable del tratamiento.

Para poder realizarlo:

� El Afectado deberá serpreviamente informado.� El tratamiento, debe estarregulado en un contrato.� En el contrato, se debe establecer expresamente el fin de la utilización de los datos.

Responsabilidad



� Puesta en Marcha de las Medidas de Seguridad.

� Mantener actualizado regularmente el Documento de seguridad.

� Comprobar que se cumplenlas medidas técnicas y las organizativas.

� Gestionar las Incidenciasdel sistema.

� Velar por que se cumpla la Política y las Medidas de Seguridad.

� Efectuar controles periódicosde verificación del cumplimiento.

� Realizar las auditorias exigidasy tomar las medidas necesarias.

Obligaciones Administradores y Responsables

Responsabilidad

�



Obligaciones de los Usuarios

� Salvaguardar y proteger las contraseñaspersonales.

� Notificar las incidenciasal Responsable de Seguridad/Administrador.

� Gestionar adecuadamente los soportesasegurándose la destrucción de copias.

� El cumplimiento de las Políticas y Medidas de Seguridadmarcadas por la empresa.

� Respetar el uso, finalidad y contenidodel fichero.

� Cumplir el deber de secretosobre los datos.

� Garantizar el acceso a los derechosde los ficheros, informando de cualquier ejercicio solicitado.

Responsabilidad

�



Niveles de Seguridad y Medidas a adoptar

LOPD Art. 9 – Seguridad de los Datos.

Especifica que el Responsable del Fichero y el Encargado del Tratamiento, deben adoptar las medidas que garanticen la seguridad de los datos.

El Reglamento RLOPD, especifica el conjunto de medidas que podemos clasificar en:

� Según sea el tipo de fichero de datosque debemos proteger•Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos automatizados•Capítulo IV. Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados

�Según sea el tipo de datos contenidos en los ficheros tenemos una sub-clasificación común para ambos, dependiendo del tipo de datos:

•Capítulo III y IV. Sección Primera. Medidas de seguridad de nivel básico.•Capítulo III y IV. Sección Segunda. Medidas de seguridad de nivel medio.•Capítulo III y IV. Sección Tercera. Medidas de seguridad de nivel alto.

Responsabilidad

�



� MEDIDAS DE SEGURIDAD NIVEL BÁSICO (datos de nivel Básico)

Artíc. RLOPD

FicherosAutomatizados

Capítulo III – Sección Primera

89 Funciones y obligaciones del personal

90 Registro de incidencias

91 Control de accesos

92 Gestión de soportes

93 Identificación y autentificación

94 Copias de respaldo y recuperación

Artíc. RLOPD

FicherosNO automatizados

Capítulo IV – Sección Primera

105 Obligaciones comunes

106 Criterios de archivo

107 Dispositivos de almacenamiento

108 Custodia de soportes


Responsabilidad



Artíc. RLOPD


89-94 � Medidas de nivel básico

Capítulo III – Sección Segunda

95 Designación Responsable Seguridad

96 Auditoría

97 Gestión de soportes

98 Identificación y autentificación

99 Control de acceso físico

100 Registro de incidencias

� MEDIDAS DE SEGURIDAD NIVEL MEDIO (datos de nivel M edio)

Artíc. RLOPD



Capítulo IV – Sección Segunda

109 Responsabilidad de seguridad

110 Auditoría


Responsabilidad



Artíc. RLOPD



95-100 � Medidas de nivel medio

Capítulo III – Sección Primera

101 Gestión y distribución de soportes

102 Medidas adic. copias de respaldo

103 Registro de accesos

104 Telecomunicaciones

� MEDIDAS DE SEGURIDAD NIVEL ALTO (datos de nivel Al to)

Artíc. RLOPD



109-100 � Medidas de nivel medio

Capítulo IV – Sección Segunda

111 Almacenamiento de la información

112 Copia o reproducción

113 Acceso a la documentación

114 Traslado de documentación


Responsabilidad



[email protected]

5- AEPD

Agencia Española Protección de Datos



• El responsable del fichero, debe de realizar la inscripción de cualquier fichero en la Agencia Española de Protección de Datos (AEPD) con anterioridad a la realización de cualquier tipo de recogida y tratamiento de datos.

• La NOTIFICACION de los ficheros tiene como objeto principal asegurar la publicidad de las características y finalidadesde los tratamientos de datos

• Se deberá notificar a la AEPD cualquier modificación o bajaque se produzca.

Nota: La inscripción del fichero, no prejuzga que se haya cumplido con el resto de

obligaciones en materia de tratamiento de datos.

Notificación e inscripción registral:

AEPD

�



• El artículo 9 de la LOPD estableceque "el responsable del fichero”, y, en su caso, el encargado del tratamiento, deberán adoptar las medidasnecesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

• El RLOPD en su Título VIII , establece las medidasque los responsables de los tratamientos o los ficheros han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

• Entre estas medidas, se encuentra la elaboración de un documentoque recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

Documento de Seguridad (Artículo 88)

AEPD

�



� Es un documento interno de la organización, que debe mantenerse siempre actualizado.

� Disponer del documento de seguridad es unaobligaciónpara los responsables de ficheros y los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.

� A partir del nivel medio de medidasde seguridad, además de los apartados anteriores,debe contener los siguientes:

• identificación del responsable de seguridad;• control periódico del cumplimiento del

documento.

Documento de Seguridad: Contenido (Art. 88)

AEPD

�



Información en: www.agpd.es

AEPD

�



[email protected]

Ley 34/2002 de Servicios de la Sociedad de la Información y el

Comercio Electrónico

Ley 34/2002 de Servicios de la Sociedad de la Información y el

Comercio Electrónico

6- LSSI-CE



La LSSI-CE 34/2002es una Ley que se aplica al comercio electrónico y a otros servicios de Internet cuando sean parte de una actividad económicao cuando se hacen comunicaciones comerciales o publicidadpor vía electrónica.

Obligaciones de información (Artículo 10):� Debe mostrase en la página web:

• Denominación social, NIF, domicilio, y dirección de correo electrónico, teléfono o fax.• Los datos de inscripción registral.• Preciosde productos con indicación de impuestos y gastosde envío.

Obligaciones previas a la contratación (Artículo 27):� Si además hacencontratos online, debe añadirse la siguiente información con carácter previo:

• Trámites que deben seguirse para la contratación.• Si el documento electrónico se va a archivary si será accesible.• Medios Técnicospara corregir errores en la introducción de datos.• Lengua o lenguasen que podrá formalizar el contrato.• Condiciones generalesdel contrato.

LSSI-CE

�



Comunicaciones comerciales por vía electrónica

Régimen Jurídico (Artículo 19):• Además de lo establecido en lapropia Ley y su normativa propia, y la vigente enmateria comercial y de publicidad, le

será aplicable laLOPD 15/1999, y su normativa de desarrollo, en especial en lo que se refiere a laobtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros.

Información exigida (Artículo 20)

• El Anunciante o emisorde comunicaciones comerciales, debe identificarseclaramente.• El carácter publicitario del mensaje, debe ser inequívoco (PUBLICIDAD ).

Prohibición de comunicaciones comerciales (Artículo 21)• Para enviar correos electrónicos o SMS, debe obtenerse previamente la solicitud o autorización expresa.• De tenerla, se deberá ofrecer al destinatario la posibilidad de oponerseal tratamiento de sus datos con fines promocionales de

un modo sencillo y gratuito.

Derechos de los destinatarios (Artículo 22)

• Podrá revocar el consentimiento prestado.• Se deberánhabilitar procedimientos sencillos para ejercerlo.

LSSI-CE

�



Infracciones y sanciones LSSI - Artículos 38 y 39

� Infracciones Leves(Sanciones hasta 30.000€)• El Incumplimiento de obligaciones de información sobre seguridad (Art. 12bis).• No informar en la forma prescrita en el Artículo 10 – Obligaciones de información.• Incumplir lo establecido en los Artículos: 20 – Información exigida, y 21 – Prohibición comunicaciones comerciales

� Infracciones Graves(Sanciones entre 30.001€ y 150.000€)• El incumplimiento significativo de los párrafos a) y f ) del Artículo 10 (Identificación empresa, y precios e impuestos).• El envío masivo de comunicaciones comerciales sin cumplir los requisitos del Artículo 21.• El incumplimiento significativo del Artículo 22- Derechos de los destinatarios.•.El no poner a disposición las condiciones generales y el incumplimiento de confirmar la recepción (Artículo 27).

� Infracciones MUY Graves(Sanciones entre 150.001€ y 600.000€)•El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o laprestación de otro servicio equivalente, cuando un órgano competente lo ordene, en virtud del Artículo 11 – Deber de colaboración.

LSSI-CE

�



Información en: www.lssi.es

LSSI-CE

�



FASES DE UN

PROYECTO DE ADECUACION

LOPD – LSSI

FASES DE UN

PROYECTO DE ADECUACION

LOPD – LSSI


Curso Resumen LOPD/LSSIFASES del PROYECTO

Fase 3Políticas

de Seguridad

Identificación de ficheros

Notificación APD

Códigos Registro de ficheros APD

Recogida de Información

Consentimiento del afectado

Rev. Contratos

� Clientes, Proveed.

� Terceros

Rev. Derechos:

�A R C O

Documento de Seguridad

Implantación de Medidas Seguridad

� Nivel Básico

� Nivel Medio

� Nivel Alto

Fase 4Seguimiento y

Mantenimiento por parte del Resp.

Seguridad

� Vigilancia en el cumplimiento

� Cumplir Deber de información

�Actualizaciones Doc. Seguridad

�AEPD: Nuevas Instrucciones

�Auditoria bienal

�Formación del personal

Fase 2Legitimación

de Datos

Fase 1Definición y Localización

Adecuación de una empresa

Definición Resp. Seguridad

Formación Resp. seguridad

�



Jesús Fernández AbadJunio 2011

FinCurso Resumen LOPD/LSSI-CE

FinCurso Resumen LOPD/LSSI-CE

Curso Resumen LOPD Auditores

Documents

Transcript of Curso Resumen LOPD Auditores