Presentación de PowerPoint - bizkaia.eus · 3Al realizarse la recogida de datos, el interesado...

ATTESTLey 15/99

Protección de Datos deCarácter personal

C/ Henao nº 1848009 BILBAO

Tel: 94 424 30 24Fax: 94 424 37 [email protected]

Paseo Salamanca, nº 14, 1º 20003 SAN SEBASTIAN

Tel: 943 42 97 95Fax: 943 42 67 34

[email protected]

Avda. Brasil nº 29, 1º28020 MADRID

Tel: 91 556 11 99Fax: 91 556 96 [email protected]

Galileo, 218, entr. 1ª08028 BARCELONA

Tel: 93 390 51 20Fax: 93 390 51 01

[email protected]

Problemática de aplicaciónen el ámbito empresarial

Ponente: D. Javier Lizarralde

Socio de la empresa ATTEST

[email protected]

PROTECCION DE DATOS PERSONALES

consideraciones generales

La confidencialidad en el ámbito empresarialLa información: ACTIVO para toda organización

► Deber de confidencialidad inherente a la actividadempresarial y profesional

► Aspectos novedosos- Trabajo en equipo- Uso de nuevas tecnologías (TICs)

Modificación de las relaciones entre empresas.- Centralización de datos

gestión más eficaz.amenazas para seguridad de la información.

► ¿Qué hacer?

1 Garantizar los derechos de los interesados2 Difundir y conocer leyes, códigos deontológicos, normas,

recomendaciones sectoriales, políticas internas de seguridad3 Implantar en las organizaciones las salvaguardas necesarias

logística material y humana

ATTEST


Dato de carácter personalCualquier información concerniente a personas físicas

identificadas o identificables

consideraciones generales

ATTEST

L.O.P.D. Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal

planteamientoyproblemática


Objeto de la Ley: Garantizar y proteger el honor e intimidad personal y familiar de las personas físicas en lo que concierne al tratamiento de los datos personales.

Estos derechos vinculan a todos los poderes públicos, por lo que cualquier ciudadano podrá recabar su tutela a través los Tribunales

Ambito de la Ley: La Ley afecta a los datos registrados o que vayan a ser incluidos en soporte físico susceptibles de tratamiento (automatizado o no), total o parcialmente; así como a toda modalidad de uso posterior de los mismos (incluso no automatizado).Es decir afecta a toda información organizada, con datos de carácter personal, en ficheros automatizados y en soporte papel.

ATTEST

L.O.P.D. Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal



La normativa afecta a todo aquel que, con fines profesionales:Trate datos personales (clientes, proveedores, empleados, etc.)Especialmente si utiliza nuevas tecnologías en su negocio → informatización

(ficheros automatizados), aunque también afecta a ficheros en soporte papel.

Por la tipología de los datosBásicos(identificativos,económicos, profesionales)Medios (información fiscal)Especialmente protegidos(salud, creencias, ideología, tendencia sexual,

etc.)

Por el uso que se realiza de los datosacceso de tercerosfines promocionalescesión de datostransferencias internacionales…………..

Se establecen obligaciones que afectan a la seguridad de la información

ATTEST


Sanciones por más de 21 Mill € (3.600 Mill ptas) en el bienio 2000 - 2001 a responsables de ficheros de titularidad privada.


El 95% de la pymes incumple la normativa de protección de datos personales - Consejo Superior de Cámaras de Comercio / junio de 2002

Un 93% de las empresas no respeta la legislación vigente sobre protección de datos personales Agencia de Protección de Datos (El Mundo / octubre de 2002)

405 actuaciones de inspección durante el año 2001, que han derivado en 218 procedimientos sancionadores.

Situación de incumplimiento generalizado:

ATTEST

Constitución EspañolaArt. 18: Se garantiza el derecho al honor, a la intimidad personal y familiar.La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos.

legislaciónaplicable

Directiva Europea 95/46/CEProtección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.

L.O.P.D. 15/1999Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas.

Real Decreto 994/1999Medidas de seguridad de ficheros automatizados que contengan datos de carácter personal.

Instrucciones de la Agencia de Protección de Datos (A.P.D.)Control de acceso a edificios, salas de juegos, movimientos internacionales de datos, etc.(actualmente 6 instrucciones)

PROTECCION DE DATOS PERSONALESATTEST

conceptosfundamentales

Tratamiento de datos: Operaciones que permitan recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Dato de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables

Interesado: Persona física titular de los datos que sean objeto de tratamiento.

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.La ley distingue entre ficheros de titularidad pública y de titularidad privada.


Al realizarse la recogida de datos, el interesado (persona física) debe ser informadode forma expresa, precisa e inequívoca de:

La existencia del fichero, su finalidad y los destinatarios de la información.La Identidad y dirección del responsable del fichero.El carácter obligatorio o facultativo de la respuesta a las preguntas.La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (Art. 15, 16 y 6.4. LOPD).

derechosdelinteresado

Principio de calidad de los datos (Art.4 LOPD)

Deben ser adecuados, pertinentes y no excesivos en relación al ámbitoy a la finalidad.Recabados de forma lícita.Datos exactos y actualizados.Cancelados cuando no sean necesarios.


ficherosnoautomatizados

LOPD e Interpretaciones de la APD

Obligaciones existentes:1 Garantizar al interesado:

Derechos de acceso, rectificación, oposición y cancelación de los datos.Derecho de información.Principio de calidad de los datos (adecuados, pertinentes y no excesivos).

2 Adoptar medidas de seguridad:Aquéllas que la lógica y la prudencia exijan para “evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos” (art.9 LOPD).

Medidas aconsejables: guardar los datos personales bajo llave, limitación del personal con acceso a los datos, disponer de copia de los mismos en un lugar seguro, entre otras.

D.A.1ª LOPD plazo transitorio para adaptar los ficheros no automatizados a la Ley14 de enero de 2005

. Archivo estructurado s/criterios específicos relativos a personas

. No es de aplicación el Reglamento de medidas de seguridad

. Son aplicables las sanciones legales por incumplimiento (LOPD)

PROTECCION DE DATOS PERSONALES ATTEST

nivelesdeseguridad

Nivel de Seguridad

Ficheros de datos de carácter personal

Medidas de seguridad Fecha de Implantación

BASICO

- Identificativos- Características personales, profesionales, académicas, empleo, formación, etc.- Circunstancias sociales- Datos económico-financieros- Transacciones

Documento de seguridadDefinición de funciones del personalRegistro de incidenciasIdentificación/autentificaciónControl de accesoGestión de soportesCopias de respaldo y recuperación

26 marzo 2000

MEDIO

- Infracciones administrativas- Infracciones penales- Hacienda Pública- Servicios financieros- Solvencia patrimonial y de crédito- Suficientes para evaluar la personalidad del individuo

Medidas del nivel anteriorResponsable de seguridadAuditoria (mínimo bienal)Control de acceso físico 26 junio 2000

ALTO

- Ideología- Religión- Creencias- Origen racial- Salud- Vida sexual- Fines policiales

Medidas del nivel anteriorDistribución de soportesRegistro de accesosCifrado de telecomunicaciones 26 junio 2002


infraccionessanciones

Nivel de la infracción

Descripción de la infracción Sanción prevista

LEVE

1. No atender la solicitud de rectificación o cancelación por motivos formales.

2. No proporcionar información a APD.3. No solicitar inscripción de fichero en el RGPD (puede ser infracción

grave).4. Recoger datos personales sin proporcionar información a los

afectados.5. Incumplir el deber de secreto (puede ser infracción grave).

601,01 - 60.101,21€(100.000 - 10 millones

Ptas.)

GRAVE

Algunas infracciones son:1. Recoger datos personales sin consentimiento de los afectados.2. Tratar o usar datos de carácter personal incumpliendo la legislación

(puede se infracción muy grave).3. Mantener datos inexactos, sin rectificar o cancelar4. Mantener ficheros, locales, programas o equipos con datos

personales sin las debidas condiciones de seguridad5. Vulnerar el deber de secreto en ficheros de nivel medio.

60.101,21 - 300.506,05€(10 - 50 millones Ptas.)

MUY GRAVE

Entre otras:1. Recoger datos de forma engañosa o fraudulenta.2. Comunicar o ceder los datos de carácter personal, fuera de los casos

en que esté permitido.3. Transferencia de datos a países sin nivel equiparable de protección y

sin autorización de la APD.4. No atender sistemáticamente los derechos de acceso, rectificación,

cancelación u oposición.5. No atender sistemáticamente el deber notificación de la inclusión de

datos personales.

300.506,05 - 601.012,10€(50 - 100 millones Ptas.)



Informar a los interesados sobre la existencia y finalidad del fichero, identidad del responsable del mismo y destinatarios de la información y garantizar los derechos que

reconoce la Ley

Crear y aplicar el documento de seguridad correspondiente a cada fichero

Implantar las medidas de seguridad en función del tipo de datos y la utilización que se hace de los mismos

Inscribir la creación, modificación o supresión de ficheros en el Registro de la Agencia de Protección de Datos

Realizar auditorias especializadas de verificación del cumplimiento al menos cada dos años (ficheros que exijan medidas de seguridad de nivel medio o alto)

medidas necesarias

ATTEST

SECTORES ESPECIALMENTE AFECTADOSTodas (Industria y Servicios)Datos de clientes, proveedores y RRHH (empleados, bolsa de trabajo)

Servicios MarketingInvestigación, marketing directo

Servicios RRHHETT, selección de personal

Servicios de FormaciónColegios, Academias

Servicios de AsesoríaFiscal, contable, laboral, jurídica

OtrosInmobiliarias, centros de salud, automoción, asociaciones, comercios, etc.

Atención:Datos empleados (salud, sindicación, c.vitae)e-commerceControles de acceso y vigilancia (cámaras)

ámbitoempresarial


situacióntípica


CLIENTES

PROVEEDORES

RECURSOS HUMANOS

CONTROL DE ACCESOIdentificativos

Evaluación del individuo

Especialmente protegidos

Ficheros físicos

Acceso de terceros a datos de carácter personal

Cesión de datos entre empresas

Transferencias Internacionales de datos personales

Múltiples centros de trabajo

FICHEROS

DATOS PERSONALES

SITUACIONES

ATTEST

ficherosderrhh


BOLSA DE TRABAJOEMPLEADOS

Datos personales

IdentificativosSalud

bajas, reconocimientos, minusvalíasCreencias

afiliación sindical

IdentificativosEvaluación del individuo

Formación, aficiones, pertenencia a asociaciones (c.vitae)

Situaciones Acceso de tercerosAsesoría laboral externa: nóminas

Transferencias Internacionales

Formación, gestión de personal

Cesión de datosComité de empresa

Acceso de tercerosSelección de personal externa

Transferencias Internacionales

Selección de personal

Recogida de datos por Internet

ATTEST

accesodeterceros

Acceso de terceros a datos de carácter personal (Art. 12 LOPD)

Recursos Humanosnóminas, selección de personal

Marketingestudios de mercado, satisfacción

del cliente, mailingsComercial

agentes comercialesOtros

servicios bancarios, etc.


Externalización de servicios:

1 Necesario para la prestación de un servicio.2 Tratamiento por 3º regulado por contrato o

cláusula de confidencialidad de los datos.3 Encargado del tratamiento debe adoptar las

medidas de seguridad necesarias para garantizar su confidencialidad.

ATTEST

proyectodeseguridadProyecto tipo de adaptación a la normativa de protección de datos personales


Supone la aplicación de medidas de seguridad de la información:

Técnicas: copias de seguridad, registro de accesos, contraseñas, gestión de soportes, etc.Organizativas: políticas y procedimientos dirigidos a salvaguardar el sistema informático y la información contenida en él.

Además:Se evitan las sanciones por incumplimiento.Se inicia la concienciación de los usuarios respecto a la importancia de la seguridad informática y de la información en el uso de las nuevas tecnologías.

Aporta valor añadido al negocio:Al cliente, proveedor, empleado, etc.: le garantiza que sus datos personales son tratados de forma adecuada y con todas las garantías de confidencialidad.

cumplirhoy


Se incorpora la seguridad de la información como elemento de gestión empresarial.

ATTEST

Para cada sociedad:

1 Se habrán diseñado cláusulas legales para Informar a los interesados sobre la existencia y finalidad de los ficheros, identidad del responsable, destinatarios y derechos.

2 Se habrá redactado el documento de seguridad.

3 Se habrán diseñado las medidas de seguridad necesarias, a nivel técnico, organizativo y legal

4 Se habrá registrado la creación, modificación o supresión de ficheros en la APD

5 Plan de auditorias especializadas como mínimo cada dos

años.

Situación a fin de proyecto LOPD


Documentación generada resultado del trabajo:Doc. de Seguridad, ClausuladoAnexos, Registros, Notas Técnicas

ATTEST

ATTESTPRESENTACIONDE SERVICIOS

www.attest.es

ATTEST nació en 1990 como un proyecto independiente de Firma de Auditoría y Consultoría, orientada a dar servicios profesionales a empresas, instituciones y organismos públicos bajo valores como el rigor, la calidad, la entrega y el compromiso.

La confianza que nuestros clientes han venido depositando en los servicios que prestamos, ha contribuido a la constante ampliación de nuestras áreas de actividad. Nuestro crecimiento se fundamenta en el esfuerzo, profesionalidad e identificación del personal de nuestra Firma.

Asumimos un compromiso de futuro con nuestros profesionales y con el entorno empresarial, lo cual nos implica en la mejora continua en nuestras prácticas y nos compromete en la calidad de nuestros servicios.

ATTEST

P R E S E N T A C I Ó N

• BILBAO •

Henao, 18 - 48009 BILBAO - Tel.: 94 424 30 24 - Fax: 94 424 37 15

1990: Creación de ATTEST como empresa de Consultoría Financiera y Auditoría

1991: Apertura de la oficina de Madrid

1992: Inicio de la actividad de Administración y Gestión a empresas.

1993: Desarrollo de la actividad Legal y Fiscal

1996: Nacimiento de la actividad de Consultoría de Gestión y Calidad

1999: Apertura de oficina en Argentina.

1999: Inicio de la actividad del Área de Tecnologías de la Información

2000: Desarrollo de la actividad de Consultoría Medioambiental

2000: Apertura de la oficina de San Sebastián

2002: Apertura de las oficinas de Barcelona y Soria

2004: Lanzamiento de la actividad de Consultoría en sistemas de Información estratégica

Breve Historia

En ATTEST nos sentimos especialmente orgullosos de nuestro equipo humano

Datos de Actividad

Fundada en Bilbao en 1990

200 profesionales

5 oficinas

Capital Independiente

8,4 millones de euros de facturación

SoriaMadrid

San SebastiánBarcelona

Bilbao

Presentación ATTEST Pag. 1 de 1

Auditoria ATTEST

Auditoría y revisión de información financiera

• Auditoría Oficial de Cuentas• Auditorías y “due diligences” de compras• Examen de estados financieros• Examen de liquidaciones presupuestarias

de entes públicos• Revisiones limitadas• Consolidación financiera de grupos de

sociedades

Otros servicios

• Adaptación de información financiera a la normativa contable general, específica (sectorial) o internacional (IAS)

• Revisiones de control interno de informaciónanalítica y cumplimiento de objetivos y obligaciones

• Revisión del cumplimiento presupuestario, de legalidad y de objetivos para entes públicos

• Trabajos de experto independiente y periciales• Informes sobre cumplimiento

de programas subvencionados

• Fiabilidad, contraste y claridad de la información financiera para accionistas, inversores y empresarios

• Supuestos de actuación de auditoría previstos en la legislación mercantil

Procedimientos concursales

• Labores de Comisario, Depositario o Síndico en procesos de quiebra

• Labores de Interventor Judicial enprocesos de suspensión de pagos y liquidación de empresas

Consultoría financiera

• Proyecciones financieras• Asesoría en el diseño y ejecución de

fusiones y adquisiciones de empresas• Estudios de viabilidad• Análisis de inversiones• Asesoría en planificación y estructura

de finanzas empresariales y corporativas


Jurídico

• Asesoramiento mercantil y laboral

• Reclamación y defensa en el orden jurisdiccional, laboral o contencioso administrativo

• Servicio de Secretaría de Consejo deAdministración y/o Junta y de Letrado Asesor

• Asistencia en Tribunales en impugnaciones societarias y acciones de responsabilidad

• Asistencia letrada en procesos concursales

• Negociación y tramitación de Expedientes de Regulación de Empleo

• Tramitación y seguimiento de expedientesadministrativos en infracciones laborales

• Negociaciones con la Seguridad Social

Fiscal

• Planificación fiscal

• Apoyo técnico en inspecciones Tributarias

• Elaboración y revisión de declaraciones fiscales

• Revisiones - Diagnosis de la situación fiscal de personas físicas y jurídicas

• Reestructuración de grupo empresariales y patrimonios personales

Jurídico y Fiscal ATTEST

Consultoría ATTEST


Calidad y mejora continua

• Asesoría en Sistemas de Calidad (ISO 9000,

Automoción: ISO/TS 16.949, QS 9000, EAQF, VDA)

• Asesoría en Calidad Total (Modelo Europeo EFQM)

• Auditorías internas de calidad

• Auditorías a proveedores

• Formación en técnicas de calidad (auditorías de

calidad, normativa de calidad, grupos de mejora,

técnicas de resolución de problemas, etc.)

• Gestión de Procesos (análisis y mejora de procesos)

• Evaluación de la satisfacción de clientes

Prevención de Riesgos

• Evaluación de Riesgos

• Asesoría en Sistemas de Gestión

• Planes y estudios de seguridad

Medioambiente

• Evaluaciones medioambientales• Asesoría en Sistemas de Gestión

Medioambiental (ISO 14000)• EMAS/EMAS 2/e+5• Formación ambiental• Memoria de sostenibilidad• Due Dilligence Ambiental• Agenda 21• Legislación ambiental: Econet

Recursos humanos

• Diseño de estructuras organizativas• Configuración de puestos de Manuales

funcionales

Estrategia

• Elaboración de planes estratégicos yplanes de gestión

• Cooperación interempresarial• Proyectos de expansión y reestructuración

Tecnologías de la Información ATTEST


Auditoría y diagnóstico de sistemas

• Auditoría Informática

• Realización de Planes de Sistemas

• Consultoría estratégica de TI

• Planificación y Control de la Seguridad

• Protección de datos personales: LOPD

Diseño y desarrollo de sistemas de información

• Planificación, control y gestión de proyectos de TI

• Especificación de requisitos y estudios previos

• Análisis funcional y diseño técnico

• Desarrollo de aplicaciones

• Formación e implantación de TI

• Servicios de Outsourcing

Integración de sistemas

• Diseño de redes de comunicaciones: LAN, WAN

• Instalación de cableado estructurado

• Servicios de Técnica de Sistemas

Consultoría en ERP

• Consultoría en valoración e implantación

de ERP/CRM

• Elaboración de Estudio de Valoración de

Aplicaciones ERP/CRM existentes en el mercado

• Necesidades de realización de desarrollos

específicos sobre el ERP/CRM

• Formación a los usuarios sobre parametrización y

uso de la aplicación

• Mantenimiento correctivo y evolutivo de

aplicaciones ERP/CRM

Internet /Intranet / Extranet

• Diseño de páginas WEB estáticas y dinámicas

• e-comerce / e-business

• Business to business

• Integración con ERPs

SIE. Sistemas de Información Estratégica

• Diagnóstico y diseño de un SIE

• Implantación de metodologías y herramientas

informáticas

• Evaluación, seguimiento, monitorización y análisis


Muchas Gracias

ATTEST

Presentación de PowerPoint - bizkaia.eus · 3Al realizarse la recogida de datos, el interesado...

Documents

Transcript of Presentación de PowerPoint - bizkaia.eus · 3Al realizarse la recogida de datos, el interesado...