• Save
Presentación Lopd Cct 2009
Upcoming SlideShare
Loading in...5
×
 

Presentación Lopd Cct 2009

on

  • 3,334 views

Presentación correspondiente al curso de LOPD para el sector turístico impartido el 27 de marzo de 2009 en el Centro de Cualificación Turística de Murcia por Andrés Romero, abogado, socio de Nexo ...

Presentación correspondiente al curso de LOPD para el sector turístico impartido el 27 de marzo de 2009 en el Centro de Cualificación Turística de Murcia por Andrés Romero, abogado, socio de Nexo Abogados.

Statistics

Views

Total Views
3,334
Views on SlideShare
3,245
Embed Views
89

Actions

Likes
4
Downloads
0
Comments
0

2 Embeds 89

http://saladeprensa.nexoabogados.com 78
http://www.slideshare.net 11

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Presentación Lopd Cct 2009 Presentación Lopd Cct 2009 Presentation Transcript

  • Ley Orgánica de Protección de Datos de Carácter Personal Aspectos básicos, la LOPD y el Reglamento de Desarrollo. Aspectos prácticos aplicados al sector de hostelería y turismo. Andrés Romero © Nexo Abogados 2009
  • Índice
    • Introducción a la LOPD
    • Legislación aplicable.
    • Conceptos básicos.
    • Derechos de los Afectados.
    • Obligaciones del responsable del fichero y del encargado del tratamiento.
    • El Documento de Seguridad.
    • Las medidas de seguridad.
    • Infracciones .
    • Sanciones .
    • Anexos
  • 1. Introducción
    • Creciente presencia de la tecnología en nuestras vidas.
    • Nuevas utilidades, usos, herramientas, etc. para empresas y negocios.
    • Gran valor de la información (marketing, gestión, trámites, etc.)
    • Las personas físicas tienen derecho a un tratamiento adecuado de sus datos personales.
    • Protección de datos=regulación del uso por parte de las empresas de los datos personales que puedan tratar.
    View slide
  • II. Legislación aplicable.
    • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (LOPD)
    • R.D. 1720/2007, de 21 de diciembre, de desarrollo de la LOPD.
    • R.D. 994/1999, de 11 de junio, que aprueba el Reglamento de Medidas de Seguridad para ficheros automatizados.
    • Instrucciones e informes jurídicos de la AEPD.
    View slide
  • III. Conceptos Básicos.
    • Dato personal.
      • “ cualquier información concerniente a personas físicas identificadas o identificables ”
      • Ejemplos:
        • Nombre y apellidos.
        • Datos bancarios.
        • Firma.
        • Imagen.
        • Datos relativos a la salud (alergias, minusvalías, …)
        • Etc.
    • Fichero.
      • “ todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso ”.
      • Ejemplos:
        • Clientes.
        • Personal.
        • Reservas on-line.
        • ¿proveedores?
    • Afectado.
      • “ persona física titular de los datos que sean objeto del tratamiento ”
    • Responsable del fichero o del tratamiento.
      • “ persona física o jurídica u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente ”
  • III. Conceptos Básicos.
    • Encargado del tratamiento.
      • “ persona física o jurídica que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”
    • Cesión de datos.
      • “ tratamiento de datos que supone su revelación a una persona distinta del interesado”
    • Documento de Seguridad.
      • “ documento elaborado por el responsable que recoge las medidas de índole técnica y organizativa acordes a la normativa vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información”
    • AEPD .
      • “ ente de Derecho Público que, entre otras funciones, vela por el cumplimiento de la legislación sobre protección de datos y controla su aplicación ”
    La diferencia entre el RESPONSABLE y el ENCARGADO es que el titular de los datos y quien decide cómo y para qué se van a tratar éstos es el RESPONSABLE, quien a su vez podrá haber encargado a otra persona ajena a su organización el tratamiento de todo o parte del fichero en cuestión (Ejemplo: empresa titular de un fichero de personal que encarga a una asesoría la gestión de las nóminas).
  • IV. Derechos de los afectados.
    • Derecho de Acceso.
      • Derecho a obtener información sobre los datos propios tratados, la finalidad del tratamiento, origen de los datos y cesiones previstas.
      • El responsable (o el encargado si se ha previsto en el contrato) tiene un mes de plazo para contestar.
    • Derecho de Rectificación.
      • Derecho a que se modifiquen los datos incorrectos o inexactos.
      • Plazo: diez días a contar desde la solicitud.
    • Derecho de Cancelación.
      • Derecho a que se supriman los datos que resulten inadecuados o excesivos.
      • Plazo: diez días a contar desde la solicitud.
    • Derecho de Oposición.
      • Derecho a que no se traten los datos o se cese en el tratamiento cuando:
        • No sea necesario su consentimiento siempre que una ley no disponga lo contrario.
        • Ficheros de publicidad y prospección comercial.
        • Adopción de decisiones basadas únicamente en un tratamiento automatizado de sus datos (salvo excepciones)
  • V. Obligaciones del responsable y el encargado del tratamiento.
    • Obligaciones del responsable.
      • Inscripción de ficheros.
      • Permitir el ejercicio de derechos.
      • Deber de información.
      • Obtener consentimiento previo al tratamiento y/o cesión.
      • Implantar medidas de seguridad.
    La inscripción del fichero así como su modificación o cancelación se hace al Registro General de Protección de Datos (el acceso es público a través de www.agpd.es ) mediante los formularios que a tal efecto existen y que están disponibles en la propia página web de la AEPD. En tal sentido, el responsable debe informar de: (i) la existencia de un fichero; (ii) si las respuestas o los datos son obligatorios o no; (iii) de la posibilidad de ejercer los derechos; (iv) de la finalidad del tratamiento; (v) de la identidad del responsable; y (vi) de las cesiones de datos previstas, en su caso.
  • V. Obligaciones del responsable y el encargado del tratamiento.
    • Obligaciones del encargado.
      • Seguir las instrucciones del responsable.
      • No utilizar los datos para otras finalidades.
      • No comunicar los datos a terceros.
      • Implantar medidas de seguridad.
      • Destruir o devolver los datos cuando finalice la relación contractual con el responsable.
    Es importante recordar que el artículo 12 LOPD determina la obligación de que exista un contrato entre responsable y encargado
  • VI. El Documento de Seguridad.
    • Documento elaborado por el responsable que recogerá las medidas de seguridad obligatorias.
    • Contenido:
      • Ámbito de aplicación.
      • Medidas.
      • Funciones y obligaciones del personal.
      • Estructura de ficheros y descripción de sistemas.
      • Gestión de incidencias.
      • Procedimientos de copias de seguridad.
      • Medidas para el transporte de soportes y documentos.
      • Responsable/s de seguridad.
      • Controles periódicos.
      • Tratamiento de por cuenta de terceros.
    Solo para niveles medio y alto.
  • VII. Las medidas de seguridad.
    • Niveles de seguridad.
      • Nivel básico : todos los ficheros que incluyan datos de carácter personal.
      • Nivel medio : entre otros, infracciones administrativas o penales, Hacienda Pública, servicios financieros, ficheros que contengan datos sobre solvencia patrimonial o de crédito, y conjunto de datos suficientes para obtener una evaluación de la personalidad.
      • Nivel alto: entre otros, ideología, religión, creencias, origen racial, salud, vida sexual.
  • VII.a. Las medidas de seguridad. Ficheros automatizados.
    • Medidas de nivel Básico :
      • Definir y documentar las funciones y obligaciones del personal (deben ser conocidas por el personal).
      • Procedimiento de notificación y gestión de incidencias (tipo de incidencia, momento, personas que intervienen, efectos y medidas correctoras).
      • Acceso a datos sólo los usuarios que lo necesiten (debe existir una relación actualizada).
      • Debe poder identificarse a quien intente acceder al sistema (si hay contraseñas se cambiarán periódicamente como máximo en un año).
      • Información en soportes e inventario.
      • Autorizaciones para salida de soportes (también e-mail).
      • Borrado de soportes que vayan a ser destruidos.
      • Copias de seguridad al menos semanales (salvo que no haya cambios).
  • VII.a. Las medidas de seguridad. Ficheros automatizados.
    • Medidas de nivel Medio :
      • Las previstas para el nivel básico.
      • Designación de responsable/s de seguridad.
      • Auditoría cada dos años.
      • Registro de entrada y salida de soportes.
      • Mecanismo que limite la posibilidad de acceder reiteradamente al sistema de forma no autorizada.
      • Control de acceso físico.
      • Mayor información en el Registro de Incidencias.
  • VII.a. Las medidas de seguridad. Ficheros automatizados.
    • Medidas de nivel Alto :
      • Las previstas para el nivel básico y medio.
      • Identificación de soportes en “clave” y datos cifrados para distribución.
      • Copia de seguridad en lugar diferente.
      • Registro de accesos.
      • Datos cifrados en redes de telecomunicaciones.
  • VII.b. Las medidas de seguridad. Ficheros NO automatizados.
    • Medidas de nivel Básico :
      • En lo básico se aplican también las de ficheros automatizados.
      • Criterios de archivo adecuados.
      • Mecanismos que obstaculicen la apertura de los dispositivos de almacenamiento.
      • Custodia.
  • VII.b. Las medidas de seguridad. Ficheros NO automatizados.
    • Medidas de nivel Medio :
      • Designación de Responsable de Seguridad.
      • Auditoría cada dos años.
    • Medidas de nivel Alto:
      • Áreas de acceso protegido.
      • Las copias se harán bajo supervisión.
      • Acceso sólo por personal autorizado (debe constar).
      • Medidas que impidan el acceso o manipulación en caso de traslado.
  • VIII. Infracciones.
    • Ejemplos de infracciones leves :
      • No solicitar la inscripción del fichero en el Registro General de Protección de Datos.
      • Proceder a la recogida de datos personales sin informar debidamente.
    • Ejemplos de infracciones graves:
      • La creación de ficheros o recogida de datos personales con finalidades distintas a las que constituyen el objeto legítimo.
      • Recogida de datos sin recabar el consentimiento cuando sea exigible.
      • Mantener los ficheros, locales, programas o equipos sin las debidas condiciones de seguridad
    • Ejemplos de infracciones muy graves:
      • La recogida de datos en forma engañosa y fraudulenta.
      • La comunicación o cesión de datos de carácter personal fuera de los casos permitidos.
      • No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.
  • IX. Sanciones.
    • Las Infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros.
    • Las infracciones graves serán sancionadas con multa de 60.101,21 euros a 300.506,05 euros.
    • Las infracciones muy graves serán sancionadas con multa de 300.506,05 euros a 601.012,10 euros.
    Recordemos que la Agencia Española de Protección de Datos puede actuar tanto mediante inspecciones de oficio a los titulares de los ficheros, como por medio de una denuncia.
  • Anexo. Aspectos particulares de aplicación en sector hostelero.
    • Ficheros habituales en hostelería:
      • Personal.
        • Los contratos temporales también forman parte del fichero de clientes.
        • En caso de subcontrataciones, los empleados que prestan servicios a través de empresas contratadas o subcontratadas no forman parte del fichero de clientes de la empresa principal sino de la contratada o subcontratada.
      • Clientes.
        • General.
        • Bodas, banquetes, celebraciones, etc.
        • Quejas, sugerencias y reclamaciones.
        • Reservas.
        • Planes de fidelización (club de clientes, tarjeta VIP, etc…)
        • Usuarios página web.
      • Videovigilancia.
        • Diferenciar entre vigilancia como control laboral y con fines de seguridad (finalidades distintas).
        • Cartel informativo suficientemente visible.
        • Ejemplo no permitido sin consentimiento precio: instalación de webcams en interiores o zonas privadas.
      • Cualquier otro que implique un fichero y un tratamiento de datos personales.
  • Anexo Aspectos particulares de aplicación en sector hostelero.
    • El responsable del fichero no es necesariamente quien “gestiona” un establecimiento.
    • Habrá que tener en cuenta quién es el titular final del establecimiento (casos de franquicias, arrendamientos de hoteles, cadenas hoteleras, contratos de gestión, etc.)
  • Anexo Ejemplos prácticos.
    • Ejemplo de Cláusula de Información a Clientes en un cuestionario de calidad NO anónimo (art. 5 LOPD).
      • “ Estimado cliente: de conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, los datos facilitados voluntariamente por usted en este cuestionario serán incorporados por HOTEL PARAISO, destinatario de los mismos, domiciliado en C/Adán y Eva, s/n, de Murcia, y con C.I.F. B-73191919, a un fichero de su titularidad con la finalidad de gestionar nuestros procesos internos de calidad. Asimismo, estos datos podrán ser utilizados con fines de publicidad de tal manera que podrá serle remitida por HOTEL PARAISO información y ofertas comerciales de novedades y estancias en el Hotel que podamos considerar de su interés. Por último, le informamos de que en cualquier caso podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición mediante petición escrita dirigida al Responsable de Seguridad de HOTEL PARAISO a la dirección indicada más arriba.
  • Anexo Ejemplos prácticos.
    • Notificación de fichero de clientes.
  • Anexo Ejemplos prácticos.
    • Caso práctico.
      • Pareja de novios que contrata a través de Agencia de Viaje en Internet un viaje a Mazarrón (incluye transporte y hotel en media pensión).
      • Él es alérgico a los lácteos y lo indica en el formulario de reserva a la Agencia de Viajes.
      • La Agencia gestiona la reserva y facilita los datos al Hotel.
      • El Ayuntamiento de Mazarrón solicita al hotel datos de ocupación con detalle con fines estadísticos.
      • Cuestiones:
        • Determinar quién es el RESPONSABLE del fichero.
        • Nivel de seguridad aplicable al FICHERO.
        • Información en materia de Protección de Datos que debe facilitarse a los afectados al contratar.
        • Determinar qué datos pueden facilitarse por el Hotel al Ayuntamiento.
  • © 2009 Andrés Romero