LOPD - Ley Orgánica de Protección de Datos
-
Upload
nuriaribas -
Category
Business
-
view
1.644 -
download
0
Transcript of LOPD - Ley Orgánica de Protección de Datos
V&H Enginyers ConsultorsNúria Ribas [email protected] 1
¿Cómo nos afecta la Ley Orgánica de
Protección de Datos (LOPD)?
18 de marzo de 2011V&H Enginyers Consultors SCCL
Passatge El Miró 7 08304 Mataró
tel. 93.757.48.24
www.vhec.net
V&H Enginyers ConsultorsNúria Ribas [email protected] 2
Índice presentación
• Ley Orgánica 15/1999, de Protección de Datos
• Conceptos
• Principios de la protección de datos
• Derechos y acciones por parte del interesado
• Obligaciones de los Responsables de los ficheros
• Agencia Española de Protección de Datos
• Incumplimiento de la Ley
• Esquema implantación LOPD
V&H Enginyers ConsultorsNúria Ribas [email protected] 3
Ley Orgánica 15/1999, de Protección de Datos
Objeto:La protección de las libertades públicas y los derechos fundamentales de las personas físicas, especialmente el honor y la intimidad personal y familiar, en relación con el tratamiento de datos de carácter personal.
Ámbito de aplicación:Se aplica a los datos de carácter personal registrados en un soporte físico, que posibilite su tratamiento y las haga susceptibles de utilización posterior por entidades públicas o privadas, (quedan excluidos los
ficheros de datos mantenidos por personas físicas para uso exclusivamente personal o doméstico).
V&H Enginyers ConsultorsNúria Ribas [email protected] 4
Conceptos
Datos personales:
Cualquier información relativa a una persona físicaidentificada o identificable, numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de ser recogida, registrada, tratada o transmitida.
Fichero:
Conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, conservación, organización o acceso.
Básicos
V&H Enginyers ConsultorsNúria Ribas [email protected] 5
Conceptos
Fuentes accesibles al público:Se consideran el censo proporcional, los repertorios telefónicos y las listas de personaspertenecientes a colectivos profesionales, asícomo los diarios y boletines oficiales y los medios de comunicación.
Disociación: Tratamiento de los datos de carácter personal de forma que la información obtenida no pueda asociarse a persona identificada o identificable.
Tratamiento de datos
V&H Enginyers ConsultorsNúria Ribas [email protected] 6
Conceptos
Responsable del fichero: Persona física o jurídica, pública o privada, que decida sobre la finalidad, uso y contenido de un fichero de datos de carácter personal.
Responsable de seguridad:Persona física designada formalmente por el Responsable del fichero para coordinar y controlar las medidas de seguridadaplicables a ficheros de datos de carácter personal.
Encargado del tratamiento: Persona física o jurídica, pública o privada, que trata los datosde carácter personal por cuenta del responsable del fichero.
Administrador del sistema: Profesional técnico informático, encargado de administrar o mantener el entorno operativo del fichero.
Personas que intervienen
V&H Enginyers ConsultorsNúria Ribas [email protected] 7
AsociaciónX
Gestoría
Informático
Responsable del Fichero
Encargado del Tratamiento
Proveedor de servicios
Conceptos
Contrato ANota: también tengo proveedor B
Contrato B
Ejemplo 1: Fichero de RRHH
V&H Enginyers ConsultorsNúria Ribas [email protected] 8
AsociaciónX
Generalitat
Informático
Responsable del Fichero
Encargado del Tratamiento
Proveedor de servicios
Contrato ANota: también tengo proveedor B
Contrato B
Cesión a terceros(≠ finalidad)
Con permiso
Ejemplo 2: Fichero de Alumnos (cursos SOC)
Conceptos
V&H Enginyers ConsultorsNúria Ribas [email protected] 9
Conceptos
Identificación: Procedimiento de reconocimiento de la identidad de un usuario.
Autenticación:Procedimiento para comprobar la identidad de un usuario.
Control de acceso: Mecanismo que permite acceder a datos personales previa identificación del usuario.
Accesos autorizados: Autorizaciones concedidas a un usuario identificado para acceder a determinados datos personales.
Medidas de seguridad
V&H Enginyers ConsultorsNúria Ribas [email protected] 10
Principios de la protección de datos
� Los datos recogidos serán adecuados, pertinentes y no excesivos en relación al ámbito y finalidad determinados, explícitos y legítimos para los que se hayan recogido.
� El tratamiento de los datos requiere el consentimiento inequívoco de la persona a la que se refieren.
� El responsable del fichero de datos está obligado a adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, y tratamiento o acceso no autorizados.
� Cualquier persona que intervenga en el tratamiento de los datos estáobligada al secreto profesional sobre las mismas.
� Los datos personales sólo podrán comunicar a un tercero para el cumplimiento de fines directamente relacionados con las funciones de la entidad que las comunica y de la entidad que las recibe, siempre con el consentimiento previo del interesado.
V&H Enginyers ConsultorsNúria Ribas [email protected] 11
Derechos y acciones por parte del interesado
• Derecho de información en la recogida de datos
• Consentimiento del afectado
• Datos especialmente protegidos
• Derecho de consulta pública y gratuita en el Registro general de protección de datos
• Derecho a indemnización
• Derechos ARCO
– Acceso (obtener información)
– Rectificación (modificar datos)
– Cancelación (no cancela los datos; los bloquea)– Oposición (no tratamiento de los datos)
Consentimiento informado
V&H Enginyers ConsultorsNúria Ribas [email protected] 12
Cesión a terceros
Consentimiento informado
Agencia de viajes
Persona que quiere hacer un crucero
Permiso
Información
Finalidad A
Encargo
Pidiendo permiso
Finalidad B
Contrato
Derechos y acciones por parte del interesado
V&H Enginyers ConsultorsNúria Ribas [email protected] 13
Obligaciones del Responsable de los ficheros
1. Inscripción de los ficheros
2. Legitimación de los datos y respeto de los derechos de los titulares
3. Elaboración del documento de seguridad
4. Aplicación de las medidas de seguridad
5. Deber de guardar secreto
V&H Enginyers ConsultorsNúria Ribas [email protected] 14
� Las personas físicas o entidades privadas que quieran crear un fichero de datos personales deben hacer una notificaciónde la existencia del fichero en la AEPD, mediante los formularios oficiales publicados al efecto.
� El Director de la AEPD a instancia del Registro General de Protección de Datos, acordará la inscripción del fichero, o bien otorgará un plazo para cumplimentar o rectificar el formulario presentado.
� El Registro notificará la inscripción al responsable del fichero.
� Mediante comunicación a la AEPD se pueden modificar o cancelar las inscripciones de ficheros.
Notificación y inscripción de los ficheros
Obligaciones del Responsable de los ficheros
V&H Enginyers ConsultorsNúria Ribas [email protected] 15
� Las personas a las que se solicitan datos personales deben ser informadas de:
a) la existencia del fichero de datos, la finalidad de recogida de los datos y los destinatarios de la información solicitada;
b) del carácter obligatorio o facultativo de la aportación de los datos solicitados y de las consecuencias de la obtención de las mismas o de la negativa a facilitarlos;
c) la posibilidad de ejercer sus derechos ARCO;
d) la identidad del responsable del tratamiento de los datos.
Legitimación de los datos
Obligaciones del Responsable de los ficheros
V&H Enginyers ConsultorsNúria Ribas [email protected] 16
Agencia Española de Protección de Datos
Funciones
• Velar por el cumplimiento de la legislación
• Controlar su aplicación
• Atender las peticiones y reclamaciones
• Ejercer la potestad sancionadora (autofinanciación)
• Potestad de inspección
Es una entidad de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con independencia de las administraciones públicas en el ejercicio de sus funciones.
����
En Cataluña hay la Autoridad Catalana de Protección de Datos ����
V&H Enginyers ConsultorsNúria Ribas [email protected] 17
Incumplimiento de la Ley
Tipo de infracciones (Art. 44 LOPD)
600.000 €a300.001deMolt greus
300.000 €a60.001deGreus
60.000 €a600deLleus
• La prescripción de las faltas es de un año para las leves, dos años para las graves y tres años para las muy graves.
• El procedimiento sancionador (regulado en el RD 1720/2007) se inicia siempre por parte de la Agencia de Protección de Datos, que puede actuar por iniciativa propia o por denuncia de particulares afectados.
����
600.000 €a300.001deMuy graves
300.000 €a40.001deGraves
40.000 €a900deLeves
V&H Enginyers ConsultorsNúria Ribas [email protected] 18
Esquema de Protección de DCP
1. Obligatoria para todas las empresasLOPD 15/1999
RD Medidas seguridad 1720/07
3. Inscripció n de ficheros
10. Y después mantenerlo implantado
7. Ajustes en la seguridad de los sistemas, aprobación definitiva del
manual de seguridad, por parte de la propia empresa
9. Auditoria de seguridad
4. Análisis de la situación actual
5. Elaboración del borrador delmanual de seguridad según NIVEL
2. Identificación y clasificación de ficheros :BÁSICO, MEDIO y ALTO
6. Elaboración de formularios :Legitimación, Outsourcing, Derechos
afectados
C o n t e n i d o d e l M a n u a l /
D o c u m e n t o d e S e g u r i d a d D S . 0 0 . 0 0
Í n d i c e F e c h a : H o j a : 1 / 1 C ó d i g o T i p o d o c . N o m b r e d e l d o c u m e n t o R e v . F e c h a D S . 0 1 . 0 0 I n t r o d u c c i ó n y c l a s i f i c a c i ó n d e l f i c h e r o 0 D S . 0 1 . 0 1 D e f i n i c i o n e s 0 D S . 0 1 . 0 2 I d e n t i f i c a c i ó n d e l R e s p o n s a b l e d e S e g u r i d a d D S . 0 1 . 0 3 I d e n t i f i c a c i ó n d e l R e s p o n s a b l e d e l F i c h e r o D S . 0 1 . 0 4
I d e n t i f i c a c i ó n d e l p e r s o n a l c o n a c c e s o a l o s d a t o s d e c a r á c t e r p e r s o n a l
D S . 0 1 . 0 5 F u n c i o n e s y o b l i g a c i o n e s d e l p e r s o n a l
D S . 0 1 . 0 6
E s t r u c t u r a d e l f i c h e r o , d e s c r i p c i ó n d e l s i s t e m a d e i n f o r m a c i ó n y s e r v i c i o s d o n d e s e p u e d e n e j e r c i t a r l o s d e r e c h o s d e l i n t e r e s a d o
D S . 0 2 . 0 0 Á m b i t o d e a p l i c a c i ó n d e l D o c u m e n t o 0 D S . 0 2 . 0 1 I n v e n t a r i o ( H a r d w a r e y u b i c a c i o n e s ) D S . 0 2 . 0 2 U b i c a c i ó n d e l M a t e r i a l I n v e n t a r i a d o D S . 0 2 . 0 3 I n v e n t a r i o S o f t w a r e d e d e s a r r o l l o i n t e r n o 0 D S . 0 2 . 0 4 I n v e n t a r i o S o f t w a r e d e d e s a r r o l l o e x t e r n o 0 D S . 0 2 . 0 5 I n v e n t a r i o S o f t w a r e C o m e r c i a l D S . 0 2 . 0 6 I n v e n t a r i o d e B a s e s d e D a t o s D S . 0 2 . 0 7 D e s c r i p c i ó n d e l S i s t e m a d e I n f o r m a c i ó n D S . 0 2 . 0 8 P r e s t a c i ó n d e S e r v i c i o s D S . 0 3 . 0 0 M e d i d a s , N o r m a s , P r o c e d i m i e n t o s , R e g l a s y E s t á n d a r e s D S . 0 3 . 0 1
P o l í t i c a d e S e g u r i d a d G e n e r a l d e S e g u r i d a d d e l a i n f o r m a c i ó n
D S . 0 3 . 0 2 P o l í t i c a d e S e g u r i d a d d e P r o t e c c i ó n d e D a t o s d e c a r á c t e r p e r s o n a l
D S . 0 3 . 0 3 C l a s i f i c a c i ó n d e l a i n f o r m a c i ó n D S . 0 3 . 0 4 I n f o r m a c i ó n a l o s e m p l e a d o s D S . 0 3 . 0 5 P r o c e d i m i e n t o d e I d e n t i f i c a c i ó n y A u t e n t i c a c i ó n D S . 0 3 . 0 6 R e g i s t r o s d e A c c e s o s D s . 0 3 . 0 7 P r o c e d i m i e n t o d e p u e s t a a l d í a d e l D o c u m e n t o D S . 0 3 . 0 8 P e r s o n a l A d m i n i s t r a d o r d e A c c e s o s D S . 0 3 . 0 9 P r o c e d i m i e n t o d e G e s t i ó n e I n v e n t a r i o d e S o p o r t e s D S . 0 3 . 1 0 P r o c e d i m i e n t o s d e D e s e c h o d e S o p o r t e s D S . 0 3 . 1 1
P r o c e d i m i e n t o d e n o t i f i c a c i ó n , G e s t i ó n y R e s p u e s t a a n t e l a s i n c i d e n c i a s
D S . 0 3 . 1 3 P r o c e d i m i e n t o d e l c o n t r o l d e l c u m p l i m i e n t o D S . 0 3 . 1 4 P r o c e d i m i e n t o d e a u d i t o r i a s d e l S i s t e m a D S . 0 3 . 1 5 P r o c e d i m i e n t o d e C o n t r o l d e A c c e s o s F í s i c o s D S . 0 3 . 1 6 P e r s o n a l A u t o r i z a d o A c c e s o F í s i c o D S . 0 3 . 1 7 P r o c e d i m i e n t o d e C o p i a s d e R e s p a l d o D S . 0 3 . 1 8 P r o c e d i m i e n t o d e R e c u p e r a c i ó n D S . 0 3 . 2 0 P r o c e d i m i e n t o d e P r u e b a s c o n d a t o s r e a l e s D S . 0 3 . 2 1
P r o c e d i m i e n t o d e G e s t i ó n y C o n t r o l d e n o m b r e d e u s u a r i o y c l a v e s
8. Formación interna
IMPLANTACIÓN
LOPD
V&H Enginyers ConsultorsNúria Ribas [email protected] 19
Gracias por vuestra atención
V&H Enginyers Consultors SCCL
Passatge El Miró 7 08304 Mataró
tel. 93.757.48.24
www.vhec.net
Núria Ribas [email protected]