Cicle de protecció de dades del PuntticMuntanyola- Granollers Taller 1: Introducció a la LOPD Consultora: Privacydat

1. .
INICIACIÓ A LA LOPD
Consultors Especialitzats en Protecció de Dades
Contacte: info@privacydat.es Telf.93.861.47.83. Extensión 2580 @PRIVACYDAT

2. ¿QUÈ ES LA LOPD 15/1999?
La Llei Orgànica 15/1999 de 13 de desembre de Protecció de Dades de Caràcter Personal,
(LOPD), és una Llei Orgànica espanyola que té per objecte garantir i protegir, en el que
concerneix al tractament de les dades personals, les llibertats públiques i els drets
fonamentals de les persones físiques.
El seu Reglament de
desenvolupament RD 1720/2007,
és la norma jurídica d'OBLIGAT
COMPLIMENT, que des d'Abril de
2008, desenvolupa i
complementa la LOPD/1999 sota
el marc normatiu europeu.
@PRIVACYDAT

3. ¿ QUÍ HA DE COMPLIR LA LOPD I EL SEU REGLAMENT ?
Estan obligats al compliment de la LOPD, així com les normes i reglaments que la
componen: TOTS aquells que posseeixin dades de caràcter personal, en qualsevol
suport físic (Paper, Cedés, PC, Dispositius electrònics, Etc.), els quals siguin
susceptibles de ser usats i tractats.
És a dir, tots els professionals, autònoms, empreses, associacions, clubs, fundacions,
comunitats de propietaris, etc., que per la seva posició en el tràfic econòmic,
posseeixin informació (dades) en qualsevol de les seves formes, sobre proveïdors,
clients, treballadors, agents, etc. estan obligats al compliment i adequació conforme a
la normativa vigent: la LOPD.
@PRIVACYDAT

4. ¿ QUÍ GESTIONA QUE ES COMPLEIXI LA LOPD?
Atenent a la seva pròpia definició tal com estableixen les seves funcions generals,
s'encarrega entre uns altres de : “Vetllar pel compliment de la legislació sobre
protecció de dades i controlar la seva aplicació, especialment quant als drets
d'informació, accés, rectificació, oposició i cancel·lació de dades”.
En conclusió, l'AEPD és un entitat de dret públic amb personalitat jurídica pròpia i
plena capacitat pública i privada, amb capacitat sancionadora que es regula per la
seva normativa específica, i que actua amb plena independència de les
Administracions Públiques en l'exercici de les seves funcions i d'igual manera es
relaciona amb el Govern a través del Ministeri de Justícia.
@PRIVACYDAT

5. ¿QUÈ INTENTA PROTEGIR LA LOPD?
A causa que l'ús i tractament de dades, ha aconseguit una importància
vital en les relacions comercials i personals, la LOPD intenta adequar i
dotar de rellevància el seu ús i tractament.
Les dades de caràcter personal, i el control sobre aquestes, són una part
indispensable del dret a la intimitat de les persones, la LOPD i el seu
reglament imposen mesures concretes per evitar el mal ús de dades
personals, així com la seva cessió.
@PRIVACYDAT

6. ¿QUÈ ES LA PRIVACITAT ?
DRET A LA PROTECCIÓ DE
DADES
DRET A INTIMITAT
@PRIVACYDAT

7. Són aquelles dades que ens identifiquen com a persones, és a dir, que fan referència a
una persona física identificada o identificable, tals com NOM I COGNOMS, DNI,,
IMATGE, VEU, Etc.
¿QUÈ CONSIDEREM DADES PERSONALS ?
@PRIVACYDAT

8. TIPUS DE DADES PERSONALS
NIVELL BÁSIC NIVELL MITJÀ NIVELL ALT
Són aquells que no
s'inclouen en el nivell
mitjà o nivell alt. Es tracta
de dades identificatives,
característiques personals,
circumstàncies socials o
familiars, així com
d'ocupació o llocs de
treball anteriors. Un
exemple de dades
bàsiques serien: NOM,
COGNOM, TELEFON,
EMAIL, ETC.
Són aquells que tenen a
veure amb la comissió
d'infraccions
administratives o penals,
informació de solvència,
etc. També s'inclouen en
aquesta categoria aquelles
que permetin avaluar
determinats aspectes de la
personalitat o
comportament de les
persones. Un exemple de
dades de Nivell Mitjà
serien: EXPEDIENTS
D’ALUMNES, ETC.
Són els que es refereixen a
ideologia, afiliació sindical,
religió o vida sexualitat,
els que continguin dades
derivades d'actes de
violència de gènere així
com aquells que hagin
estat recaptats per a
finalitats policials. Un
exemple de dades de
Nivell Alt serien: DADES
MEDIQUES, ALERGIES,
ETC.
Les dades personals es poden classificar en funció de les mesures de seguretat
que s'han d'adoptar per a la seva protecció, per tant les podrem classificar en:
@PRIVACYDAT

9. OBLIGACIONS DE LA LOPD I RDLOPD
1.- Notificació i inscripció de fitxers en el Registre General de protecció de Dades
(RGPD).
2.- Compliment del deure informació de l'interessat i, si escau, l'obtenció del
consentiment per al tractament de la seva informació de caràcter personal.
3.- Formalització de contractes d'accés a dades per compte de tercers i contractes
de prestació de serveis sense accés a dades per tercers.
4.- Elaboració del Document de seguretat i Clàusules i documents LOPD.
5.- Implantació de mesures de seguretat de caràcter tècnic i organitzatiu en els
sistemes d'informació.
@PRIVACYDAT

10. INSCRIPCIÓ I NOTIFICACIÓ DE FITXERS
Sempre que es procedeixi al tractament de dades personals, que segons la llei es
considera:
"qualsevol informació concernent a persones físiques identificades o
identificables", que suposi la inclusió d'aquestes dades en un fitxer, considerat
fitxer per la pròpia norma, com un "conjunt organitzat de dades de caràcter
personal, qualsevol que sigui la forma o modalitat de la seva creació,
emmagatzematge, organització i accés",
Aquest fitxer es trobarà sotmès a la Llei, sent obligatòria la seva inscripció en el Registre
General de Protecció de Dades (RGPD).
@PRIVACYDAT

11. Les dades de caràcter personal només es podran recollir per al seu
tractament, així com sotmetre'ls a aquest tractament, quan siguin
adequades, pertinents i no excessives en relació amb l'àmbit i les
finalitats determinades, explícites i legítimes per les quals s'hagin
obtingut.
Les dades de caràcter personal objecte de tractament no podran fer se
servir per a finalitats incompatibles o diferents per les quals s’ haguessin
recollit.
La recollida i tractament de dades de caràcter personal ha d'efectuar-se sempre
seguint el principi de proporcionalitat .
QUALITAT DE LES DADES ( Art.4) 1/3
@PRIVACYDAT

12. Les dades de caràcter personal seran exactes i s'hauran de mantenir
actualitzades, de manera que responguin amb veracitat i la situació actual del
titular.
Seran cancel·lades quan hagin deixat de ser necessàries o pertinents per a la
finalitat per la qual haguessin estat recollides.
No seran conservades en forma que permeti la identificació de l'interessat
durant un període superior al necessari per a les finalitats
QUALITAT DE LES DADES ( Art.4) 2/3
@PRIVACYDAT

13. Podran conservar-se durant el temps en què pugui exigir-ne algun tipus de
responsabilitat derivada d’ una relació o obligació jurídica o de l'execució d'un
contracte o pre-contracte.
Podran conservar-se per atendre obligacions legals que així ho requereixin:
conservar documentació per atendre obligacions fiscals, etc.
QUALITAT DE LES DADES ( Art.4) 3/3
@PRIVACYDAT

14. El deure informació i/o consentiment en la recollida de dades.
Què és?
Aquest dret de l'obligació que marca la LOPD, pel qual s’ha de ser informat sobre on aniran les dades
aportades, per a què seran utilitzades, i en tot cas a qui seran cedides
Això es converteix en una obligació o deure per del Responsable del Fitxer. Així, en qualssevol recollida
de dades efectuada, mitjançant formularis o qüestionaris, en paper i/o electrònics.
De què ha d'informar-se?
1. De l'existència d'un fitxer o tractament de dades de caràcter personal, de la finalitat de la recollida
d'aquests i dels destinataris de la informació.
2. Del caràcter obligatori o facultatiu de la seva resposta a les preguntes que els siguin plantejades.
3. De les conseqüències de l'obtenció de les dades o de la negativa a subministrar-los.
4. De la possibilitat d'exercitar els drets d'accés, rectificació, cancel·lació i oposició.
5. De la identitat i adreça del Responsable del Fitxer i tractament.
EL DEURE D’INFORMACIÓ. ART. 5
@PRIVACYDAT

15. EL DEURE D’INFORMACIÓ - CLAUSULES LOPD
Sempre que recollim i tractem dades de caràcter personal mitjançant,
qüestionaris, formularis o similars, haurem d’incloure les Clàusules
Jurídiques i contractes necessaris per al correcte compliment de la LOPD
durant el desenvolupament habitual de les activitats de la Organització.
Per exemple:
1. Clàusules Treballadors
2. Videovigilància
3. Clàusules Currículums
4. Clàusules Correu Electrònic
5. Clàusules a formularis Web
6. Etc.
@PRIVACYDAT

16. Es aquell que decideix sobre la finalitat, el contingut, tractament i us de
les dades personals recollides, en funció de l’activitat publica o privada
que desarrolla.
RESPONSABLE DEL FITXER O TRACTAMENT
@PRIVACYDAT

17. Es aquell que tracta dades personals per compte del Responsable del
Fitxers, com a conseqüència de l’existència d’una relació jurídica que l’hi
vincula i delimita l’àmbit de la seva actuació per a la prestació d’un servei.
ENCARREGAT DEL TRACTAMENT
Per exemple: Assessoria laboral, fiscal, comptable, Prevenció de Riscos, Hosting,
Manteniment informàtic .
@PRIVACYDAT

18. Contractes de prestació de serveis amb accés a dades per tercers. Art. 12
No es considera comunicació de dades l'accés d'un tercer a les dades quan l'accés sigui necessari
per prestar un servei al responsable del tractament.
En tot cas, la realització del tractament per compte de tercers ha d’estar regulada en un
contracte que consti per escrit i que estableixi, expressament, que l’encarregat del tractament:
 Només ha de tractar les dades d’acord amb les instruccions del responsable del tractament.
 No pot aplicar ni utilitzar les dades amb una finalitat diferent de la que figuri en el contracte.
 No pot comunicar les dades a altres persones, ni tan sols per conservar-les.
 Està obligat a implementar les mesures de seguretat que es defineixin en el contracte.
 Està obligat a destruir o tornar al responsable del tractament les dades personals i qualsevol
suport o document que contingui alguna dada que hagi estat objecte del tractament, una
vegada acomplerta la prestació contractual
En el contracte s’han d’establir els mecanismes que el responsable del fitxer utilitzarà per vetllar
per tal que l’encarregat del tractament compleixi les seves obligacions.
Per exemple: Assessoria laboral, fiscal, comptable, Prevenció de Riscos, Hosting,
Manteniment informàtic
@PRIVACYDAT

19. Contracte de prestació de serveis sense accés a dades per tercers.
El Responsable del Fitxer adoptarà les mesures adequades per limitar l'accés del
personal a dades personals, als suports que els continguin o als recursos del sistema
d'informació, per a la realització de treballs que no impliquin el tractament de dades
personals.
Quan es tracti de personal aliè, el contracte de prestació de serveis recollirà
expressament la prohibició d'accedir a les dades personals i l'obligació de secret
respecte a les dades que el personal hagués pogut conèixer amb motiu de la
prestació del servei, en definitiva regularem LA CONFIDENCIALITAT.
Per exemple: Empresas de Neteja, serveis tècnics, etc.
@PRIVACYDAT

20. DOCUMENT DE SEGURETAT 1/2
El document de seguretat és el document mitjançant el qual s'elaboren i adopten
les mesures tècniques i organitzatives necessàries per garantir la seguretat de les
dades de caràcter personal, la seva adopció és d'obligat compliment per al
responsable del fitxer, o si escau, per l'encarregat del tractament.
En tot cas, tindrà caràcter de document intern de l'organització i haurà de recollir,
com a mínim, els següents aspectes:
a) Àmbit d'aplicació del document amb especificació detallada dels recursos protegits.
b) Mesures, Normes, Procediments d'actuació, regles i estàndards per garantir el nivell de seguretat
c) Funcions i obligacions del personal.
d) Estructura dels fitxers amb dades de caràcter personal i descripció dels sistemes d'informació.
i) Procediment de notificació, gestió i resposta davant les incidències.
f) Els procediments de realització de còpies de seguretat i de recuperació de les dades.
g) Les mesures que siguin necessàries adoptar per al transport de suports i documents, així com la
destrucció.
@PRIVACYDAT

21. DOCUMENT DE SEGURETAT 2/2
En el cas que fossin aplicable els fitxers de seguretat de nivell mitjà o alt, el
Document de Seguretat haurà de contenir:
a) Identificació del responsable o responsables de seguretat.
b) Els controls periòdics que es realitzen per verificar el compliment.
El document haurà de mantenir-se revisat sempre que es produeixin canvis
rellevants en els sistemes d'informació o en l'organització del mateix.
El contingut del document s'haurà d'adequar, en tot moment.
@PRIVACYDAT

22. MESURES DE SEGURETAT
Resum de les mesures de seguretat segons nivell de dades:
@PRIVACYDAT

23. DRET ACCES, CANCEL.LACIÓ, RECTIFICACIÓ I OPOSICIÓ (ARCO) 1/2
El control sobre les nostres dades personals s'exerceix a través dels anomenats
drets ARCO, que donen a la persona la potestat de protegir aquesta informació i
d'exercir-hi un control efectiu.
Dret d'accés: es pot sol·licitar i obtenir gratuïtament informació sobre les seves
dades de caràcter personal sotmesos a tractament, així com l'origen d'aquestes
dades i les comunicacions realitzades o que es prevegin realitzar. Plac: 10 dies
naturals.
Dret de rectificació: reconeix el dret a dirigir-se al responsable d'un fitxer o
tractament perquè rectifiqui les seves dades personals, en el cas que aquests
siguin inexactes o incomplets. Plac: 10 dies naturals.
Dret de cancel·lació: ofereix al ciutadà la possibilitat de dirigir-se al responsable
per sol·licitar la cancel·lació de les seves dades personals. Plac: 5 dies naturals.
Dret d'oposició: el ciutadà pot oposar-se, mitjançant la seva simple sol·licitud, al
fet que les seves dades siguin tractades. Plac: 1 mes.

24. DRET ACCES, CANCEL.LACIÓ, RECTIFICACIÓ I OPOSICIÓ (ARCO) 2/2
El responsable del fitxer ha d'atendre els drets ARCO que exerceixin les persones
respecte de les seves dades personals. Li correspon assegurar-se de la identitat
de qui els exerceix ( fotocopia DNI, passaport, etc.) facilitar els mitjans perquè es
puguin exercir i respondre dins el termini legalment previst.
@PRIVACYDAT

25. SANCIONS PER INCOMPLIMENT
SANCIONS LLEUS : Entre 900 i 40.000 euros.
SANCIONS GREUS: Entre 40.001 a 300.000 euros.
SANCIONS MOLT GREUS : Entre 300.001 a 600.000 euros.
La quantia de les sancions es gradua atenent la naturalesa dels drets
personals afectats, el Nivell de dades dels fitxers, el volum dels tractaments
efectuats, els beneficis obtinguts, el grau d'intencionalitat, la reincidència i
els danys i perjudicis causats a les persones interessades i a terceres
persones.
@PRIVACYDAT

26. FUTURA NORMATIVA EUROPEA SOBRE PROTECCIÓ DE DADES
 Hi haurà major i més fàcil accés a les dades de cadascun. Cada individu tindrà més
informació sobre quin tractament reben les seves dades personals.
 Hi haurà dret a la portabilitat de les dades. És a dir, hi haurà més facilitat per
traslladar-los d'un servidor a un altre.
 Dret a l'oblit. Si un ciutadà ho desitja, i sota alguns requisits, les seves dades seran
eliminades.
 Les empreses han d'informar a l'ens supervisor de cada Estat quan les dades que
han estat piratejats. El ciutadà té dret a saber si ha sofert un atac pirata que ha
afectat la privadesa de les seves dades.
 Harmonitzant les normes entre els 28 Estats membres.
 Figura de DPO: DATA PROTECTION OFFICER o DELEGAT PROTECCIÓ DE DADES,
obligatori per empreses que tractin mes de 5.000 dades/any, o dades de Nivell Alt.
 Una altra de les implicacions que tindrà la nova norma és que les empreses podran
sofrir multes de fins al 4%.
@PRIVACYDAT

27. GRACIES PER LA VOSTRA ATENCIÓ,
RESTEM A LA VOSTRA DISPOSICIÓ A:
@PRIVACYDAT
www.privacydat.es
Info@privacydat.es
Consultors Especialitzats en Protecció de Dades