El Autónomo y la PYME ante la normativa de protección de datos (LOPD) - ADP para econred
description
Transcript of El Autónomo y la PYME ante la normativa de protección de datos (LOPD) - ADP para econred
www.apdasesores.com
El Autónomo y la PYME ante la
normativa de protección de datos. Obligaciones y Sanciones
Antonio Salguero
Para:
www.apdasesores.com
LA PROTECCIÓN DE DATOS
(L.O.P.D.)
www.apdasesores.com
www.apdasesores.com
LA NECESIDAD
EXISTE UNA GRAN Y URGENTE NECESIDAD DE ADECUAR LAS EMPRESAS Y AUTÓNOMOS A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL
www.apdasesores.com
www.apdasesores.com
¿LE AFECTA A USTED ESTA LEY?
Quizás piense Usted que por ser una Pequeña Empresa, o por ser Autónomo o una Comunidad de Propietarios, o por
la razón que sea, esta Ley (de 1999, y Reglamento de diciembre de 2007),
NO LE AFECTA, QUE NO VA CON USTED …
www.apdasesores.com
Test de sanciones
1. ¿Tiene Vd. algún fichero informático o informático
(Excel, Access, Word, libreta direcciones, etc.) o no
informático en el que se recojan datos de personas
físicas (nombre, apellidos, dirección, etc.)?
Sí No
2. ¿Ha dado de alta esos ficheros en la Agencia Estatal de
Protección de Datos?
Sí No
www.apdasesores.com
3. ¿Ha firmado con su asesoría fiscal y laboral y jurídica
y empresa informática un contrato que regule la
responsabilidad por el acceso a datos personales?
Sí No
4. ¿Ha adoptado Vd. las medidas de seguridad obligatorias
respecto a tratamiento de incidencias, copias de
seguridad, identificación de usuarios, gestión de
soportes, etc?
Sí No
www.apdasesores.com
5. ¿Ha informado a sus trabajadores y/o usuarios de los
datos que maneja su Empresa, en papel o
informáticamente, de cuáles son sus derechos y cuáles
sus obligaciones en relación a la normativa de
protección de datos personales?
Sí No
6. ¿Ha redactado un Documento de Seguridad en el que se
especifiquen las medidas de seguridad adoptadas por su
empresa para cumplir con la legislación sobre protección
de datos?
Sí No
www.apdasesores.com
7. ¿Sabría Vd. cómo reaccionar ante una petición de
acceso a los datos que se contienen en sus ficheros?
Sí No
www.apdasesores.com
NOTA:
La finalidad del presente cuestionario es exclusivamente la de proporcionar una estimación indicativa de las sanciones que pueden originar determinados incumplimientos de la normativa sobre protección de datos personales.
Ni su planteamiento ni su resultado prejuzgan situaciones específicas, para cuyo examen sería necesario un conocimiento mayor del caso concreto.
www.apdasesores.com
Test de sanciones (resultado)
1) ¿Tiene Ud. algún fichero informático o no informático (excel, access, word, libreta direcciones, etc.) o no informático en el que se recojan datos de personas físicas (nombre, apellidos, dirección, etc.)?
Sí, tenemos ficheros informáticos y no informáticos en los que se recogen datos de personas físicas.
www.apdasesores.com
2) ¿Ha dado de alta esos ficheros en la Agencia de Protección de Datos?
No.
A continuación se transcribe el artículo en relación con la infracción.
www.apdasesores.com
Art. 44.2.c) LOPD:
No inscribir un fichero es infracción leve (601 € a 60.101
€) pero puede calificarse como muy grave (art. 44.4.i) si
sistemáticamente se ignora esta obligación (300.506 € a
601.012 €).
www.apdasesores.com
3) ¿Ha firmado con su asesoría fiscal o laboral y empresa
informática un contrato que regule la responsabilidad por
el acceso a datos personales?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
Art. 44.3.d) LOPD:
Tratar los datos con conculcación de las garantías legales
constituye infracción grave (60.101 € a 300.506 €).
www.apdasesores.com
4) ¿Ha informado a sus trabajadores y/o usuarios de los
datos que maneja su Empresa, en papel o
informáticamente de cuáles son sus derechos y cuáles sus
obligaciones en relación a la normativa de protección de
datos personales?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
Art. 44.2.d) LOPD:
Proceder a la recogida de datos de carácter personal de los propios
afectados sin proporcionarles la información que señala el artículo 5 de
la Ley constituye infracción leve (601 € a 60.101 €).
www.apdasesores.com
En relación con este punto, lo más importante es que, si no se le señalan al trabajador cuáles son sus
obligaciones en relación a la normativa de protección de datos, por un lado la Agencia puede llegar a entender que
la Empresa está incumpliendo las debidas medidas de seguridad, lo que constituiría una infracción grave
(60.101 € a 300.506 €), y, por otro lado, no se le podrá exigir responsabilidad alguna al trabajador en cuestión si la Empresa es sancionada por una conducta de aquél contraria a la normativa de protección de datos, puesto
que no se le informó a éste en su momento debidamente de sus obligaciones en la materia.
www.apdasesores.com
4) ¿Ha adoptado Vd.. las medidas de seguridad
obligatorias respecto a tratamiento de incidencias, copias
de seguridad, identificación de usuarios, gestión de
soportes, etc?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
Art. 44.3.h) LOPD:
Mantener los ficheros, locales, programas o equipos que
contengan ficheros sin las debidas medidas de seguridad
constituye infracción grave (60.101 € a 300.506 €).
www.apdasesores.com
5) ¿Ha redactado un documento de seguridad en el que se
especifiquen las medidas de seguridad adoptadas por su
empresa para cumplir con la legislación sobre protección
de datos?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
Art. 44.3.d) LOPD:
Tratar los datos con conculcación de las garantías legales
constituye infracción grave (60.101 € a 300.506 €).
www.apdasesores.com
6) ¿Sabría Vd.. cómo reaccionar ante una petición de
acceso a los datos que se contienen en sus ficheros?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
Art. 44.3.e) LOPD:
Obstaculizar el ejercicio del derecho de acceso o no
facilitar la información solicitada constituye infracción
grave (60.101 € a 300.506 €); hacerlo de forma
sistemática (Art. 44.4.h) constituye infracción muy grave
(300.506 € a 601.012 €).
www.apdasesores.com
NOTA SOBRE EL RESULTADO
Probablemente se habrá sorprendido Vd.. del importe al
que pueden ascender las sanciones. Ello se debe a que
nuestra legislación sobre protección de datos es de las
más duras del entorno europeo en materia
sancionatoria. Sólo en el año 2000 la Agencia de
Protección de Datos impuso sanciones por importe de
más de 12 millones de euros (casi dos mil millones de
pesetas). Y en el 2005, más de 20 millones de euros. Y
más de 22 en el 2006…
www.apdasesores.com
Obligaciones Legales
de la Normativa de Proyección de Datos (I)
OBLIGACIONES LEGALES DE LA
NORMATIVA DE PROTECCIÓN DE
DATOS:
L.O.P.D. y REGLAMENTO -Real Decreto
1720/2007, de 21 de diciembre.)
www.apdasesores.com
Obligaciones Legales
de la Normativa de Proyección de Datos (II)
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), y su normativa de desarrollo (Real Decreto 1720/2007, de 21 de diciembre, que entrara en vigor el 19 de abril de 2008, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal,), obliga a la adopción de las medidas de seguridad técnicas y organizativas que correspondan al tipo de datos personales contenidos en los ficheros.
www.apdasesores.com
OBLIGACIONES LEGALES (I)
Inscripción de los ficheros en el Registro General de la Protección de Datos. Artículo 26 LOPD.
Redacción de los Documentos de Seguridad. "El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información" (Real Decreto 1720/2007, de 21 de diciembre)
www.apdasesores.com
OBLIGACIONES LEGALES (II)
Redacción de cláusulas de protección de datos. Artículo 5 LOPD:
Auditoría. (Real Decreto 1720/2007, de 21 de diciembre).
Demás medidas de seguridad de índole técnica y organizativas necesarias para garantizar la seguridad de los datos objeto de tratamiento. Artículos 9 y 10 LOPD y Real Decreto 1720/2007, de 21 de diciembre.
Redacción de los contratos, formularios y cláusulasnecesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.
www.apdasesores.com
NIVELES DE SEGURIDAD
La ley identifica tres niveles de medidas
de seguridad, BÁSICO, MEDIO y ALTO,
los cuales deberán ser adoptados en
función de los distintos tipos de datos
personales (datos de salud, ideología,
religión, creencias, infracciones
administrativas, de morosidad, etc).
www.apdasesores.com
MÍNIMOS EXIGIDOS
Cada uno de estos niveles tiene la
condición de mínimos exigibles sin
prejuicio de las disposiciones legales o
reglamentarias especificas vigentes.
Cada una de las medidas de seguridad
de cualquier nivel es aplicable además
a las de nivel superior.
www.apdasesores.com
NIVEL BÁSICO TIPO DE DATOS (I)
Nombre
Apellidos
Direcciones de contacto (tanto físicas
como electrónicas)
Teléfono (tanto fijo como móvil)
Nº cuenta corriente
Otros
www.apdasesores.com
NIVEL BÁSICO TIPO DE DATOS (II)
datos identificativos,
características personales,
circunstancias sociales,
académicos y profesionales,
empleo y carrera administrativa,
información comercial...
www.apdasesores.com
NIVEL BÁSICO
Medidas de Seguridad Obligatorias
Documento de seguridad
Régimen de funciones y obligaciones del personal
Registro de incidencias, Identificación y autenticación de usuarios
Control de acceso
Gestión de soportes
Copias de respaldo y recuperación
www.apdasesores.com
NIVEL MEDIO TIPO DE DATOS (I)
Comisión infracciones penales
Comisión infracciones administrativas
Información de Hacienda Pública
Información de servicios financieros
www.apdasesores.com
NIVEL MEDIO TIPO DE DATOS (II)
datos de nivel básico que permitan
obtener un perfil de la persona,
datos sobre infracciones penales y
administrativas, datos de Hacienda,
de servicios financieros, de
solvencia patrimonial y crédito.
www.apdasesores.com
NIVEL MEDIO
Medidas de Seguridad Obligatorias
Medidas de seguridad de nivel básico
Responsable de Seguridad
Auditoría bianual
Medidas adicionales de Identificación y autenticación de usuarios
Control de acceso físico
Medidas adicionales de gestión de soportes
Registro de incidencias
Pruebas sin datos reales
www.apdasesores.com
NIVEL ALTO TIPO DE DATOS (I)
Ideología
Religión
Creencias
Origen racial
Salud-Vida
www.apdasesores.com
NIVEL ALTO TIPO DE DATOS (II)
datos sobre la ideología,
creencia, religión, origen racial,
salud, vida sexual y datos
recabados con fines policiales.
www.apdasesores.com
NIVEL ALTO
Medidas de Seguridad Obligatorias
Medidas de seguridad de nivel básico y
medio
Seguridad en la distribución de soportes
Registro de accesos
Medidas adicionales de copias de
respaldo
Cifrado de telecomunicaciones
www.apdasesores.com
Qué derechos otorga la Normativa de
Protección de Datos a los Usuarios? (I)
Derecho de información. Artículo 5 LOPD.
Necesidad de solicitud de su
consentimiento. Artículo 6 LOPD.
La impugnación de valoraciones Artículo
13 LOPD.
Derecho de consulta al Registro General
de Protección de Datos Artículo 14 LOPD.
www.apdasesores.com
Qué derechos otorga la Normativa de
Protección de Datos a los Usuarios? (II)
Derecho de acceso, rectificación y
cancelación de datos Artículos 15, 16 y 17
LOPD.
Derecho de oposición. Artículo 17 LOPD.
Tutela de los derechos. Artículo 18 LOPD.
Derecho de indemnización. Artículo 19
LOPD
www.apdasesores.com
DERECHOS DE ACCESO (I)
El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se puedan realizar. La consulta podrá hacerse por una mera visualización o indicando los datos objeto de tratamiento mediante escrito, copia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o código que requieran el uso de dispositivos mecánicas específicas.
Este derecho podrá ser ejercitado como máximo una vez cada 12 meses, salvo que se acredite un interés legítimo.
www.apdasesores.com
DERECHOS DE ACCESO (II)
El ejercicio de este derecho será de forma gratuita mediante solicitud o petición dirigida al responsable del fichero, formulada mediante cualquier medio que garantice la identificación del afectado (D.N.I. u otro medio análogo), y en la que conste el fichero o ficheros a consultar.
La petición deberá contener el domicilio a efectos de notificaciones, fecha y firma.
El interesado, deberá utilizar cualquier medio que permita acreditar el envío y recepción de la solicitud.
www.apdasesores.com
Derecho de rectificación y cancelación (I)
Es la facultad o capacidad del afectado por la que puede instar al responsable del fichero a cumplir con la obligación de mantener la exactitud de los datos, rectificando o cancelando los datos de carácter personal que resulten inadecuados o excesivos, en su caso, o cuyo tratamiento no se ajuste a la Ley.
Es un derecho cuyo ejercicio es gratuito. Se ejercerá mediante solicitud o petición al responsable del fichero, mediante cualquier medio que garantice la identificación del afectado (p.e. D.N.I.) y en la que consten los datos que hay que cancelar o rectificar y el/los fichero/s en que se encuentran.
www.apdasesores.com
Derecho de rectificación y cancelación (II)
La petición deberá contener un domicilio a efectos de notificaciones, fecha, firma del solicitante, y acompañar fotocopia del D.N.I. Además indicará el dato que es erróneo, y la corrección que debe realizarse junto con la documentación que justifique la rectificación, salvo que la misma dependa exclusivamente del consentimiento del interesado.
En el caso de cancelación deberá expresar la revocación al consentimiento otorgado.
www.apdasesores.com
Derecho de oposición (I)
Es para los casos en que no es necesario el
consentimiento del afectado para el tratamiento
de los datos de carácter personal, y siempre
que una Ley no disponga lo contrario, éste
podrá oponerse a su tratamiento cuando existan
motivos fundados y legítimos relativos a una
concreta situación personal.
En tal supuesto el Responsable del Fichero
excluirá del tratamiento los datos del afectado.
www.apdasesores.com
Derecho de oposición (II)
Los interesados podrán oponerse previa petición, y sin gastos, al tratamiento de datos que les concierna, en cuyo caso se dará de baja del tratamiento, cancelándose la información que sobre ellos figuren en aquél.
Para su mayor comodidad le informamos que usted dispone de modelos para poder ejercitar sus derechos, los cuales puede solicitar a esta Empresa, u obtener de la web de Agencia de Protección de Datos, cuya dirección es la siguiente:
https://www.agpd.es
www.apdasesores.com
Muchísimas gracias por su atención y recuerden la siguiente diapositiva…
www.apdasesores.com
INFORMACIÓN EN LA WEB
www.apdasesores.com
www.agpd.es
www.apdasesores.com
www.apdasesores.com
El Autónomo y la PYME ante la
normativa de protección de datos. Obligaciones y Sanciones
Antonio Salguero
Para: