Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Aspectos prácticos de la protección de datos para pymes y emprendedores

1,775 views

Published on

Nominalia y Pyme Legal te explican en qué consiste la Ley de Protección de Datos (LOPD/LSSICE) y cómo te afecta la entrada en vigor del nuevo Reglamento Europeo en mayo del 2018.
Te explicamos cómo ponerte al día de la LOPD y evitar así las elevadas sanciones que conlleva su incumplimiento.

Published in: Law
  • Be the first to comment

  • Be the first to like this

Aspectos prácticos de la protección de datos para pymes y emprendedores

  1. 1. Ponentes Jaume Feliu, ingeniero informático, consultor en materia de privacidad. Co-fundador de PymeLegal. Georgina Andrés, abogada, experta en nuevas tecnologías.
  2. 2. Sesión • Contexto normativo. • Aplicación práctica protección de datos (LOPD vs RGPD). • La LSSICE. • Errores habituales. • RGPD y conceptos. • Servicio NOMINALIA. • FAQs • Preguntas.
  3. 3. Contexto Normativo • Constitución • Directiva 95/46/CE • Ley Orgánica 15/1999 (LOPD) • Real Decreto 1720/2007 • Ley 34/2002 de Servicios de la Sociedad de la Información (LSSICE) • Largo proceso de aprobación del reglamento (2009-2016) • RGPD: NUEVO REGLAMENTO (UE) 2016/679 – 25 mayo 2016 – 25 mayo 2018 • Anteproyecto de Ley de la ‘nueva’ LOPD - trámite
  4. 4. ¿Dónde estamos? • La normativa establece obligaciones legales-técnicas a cualquier empresa/autónomo que trate datos. • Elevado % de incumplimiento. • AEPD – Sanciones de 900€ a 600.000€ • 10.571 denuncias y reclamaciones – 17millones€ en sanciones (Fuente: Memoria AEPD) • NUEVO REGLAMENTO – NUEVAS REGLAS del juego – Sanciones más elevadas. • Nuevas GUIAS publicada por la AEPD.
  5. 5. Aplicación práctica LOPD-RGPD Datos nivel BÁSICO Datos nivel MEDIO Datos nivel ALTO MEDIDAS A APLICAR SEGÚN EL TIPO DE DATOS TRATADOS LOPD RGPD • NO ESTABLECE NIVELES DE DATOS. • NO ESPECIFICA MEDIDAS PARTICULARES A NIVEL TECNICO. • SE SIGUEN CONSIDERANDO DATOS ‘ESPECIALMENTE SENSIBLES’. • SE AÑADEN NUEVOS CONCEPTOS (datos biométricos, genéticos, …)
  6. 6. Aplicación práctica LOPD-RGPD • Notificación de ficheros a la AEPD. LOPD RGPD • DESAPARECE OBLIGACIÓN NOTIFICAR FICHEROS. • HASTA MAYO 2018 SIGUE SIENDO OBLIGATORIO. • SE SUSTITUYE POR EL ‘REGISTRO DE ACTIVIDADES DE TRATAMIENTO’.
  7. 7. Aplicación práctica LOPD-RGPD • Disponer de un documento de seguridad. ✓ Estructura de los ficheros. ✓ Escenario informático. ✓ Usuarios por áreas y accesos. ✓ Inventario de dispositivos. ✓ Protocolos (E/S, incidencias). LOPD RGPD • SE PUEDE ENGLOBAR DENTRO DEL REGISTRO DE ACTIVIDADES.
  8. 8. Aplicación práctica LOPD-RGPD • Firmar compromisos de confidencialidad. ✓ Con trabajadores + MANUAL USUARIO ✓ Con terceros con acceso a datos (encargados de tratamiento) LOPD RGPD • SE AMPLIA EL CONTENIDO DEL CONTRATO CON ENCARGADOS DE TRATAMIENTO. • DESCRIPCION DETALLADA SERVICIOS PRESTADOS, MEDIDAS APLICADAS, POSIBLES TRANSFERENCIAS INTERNACIONALES, SUBCONTRATACIONES, …
  9. 9. Aplicación práctica LOPD-RGPD • Incluir cláusulas y avisos legales. o Facturas. o Presupuestos. o Contratos. o Impresos. o Correo electrónico. o Uso de imágenes. o Recogida de datos. o Cartel de video vigilancia. o Derechos ARCO. o AVISOS LEGALES WEB. LOPD RGPD • SE AMPLIA EL DETALLE DE LA INFORMACIÓN QUE SE PROPORCIONA AL AFECTADO (base jurídica para el tratamiento, destinatarios de los datos, derechos de los afectados, reclamaciones, …) • SE PLANTEA INCLUIR ESTA INFORMACIÓN POR CAPAS: 1ª CAPA: Info básica primer nivel de recogida datos. 2ª CAPA: Información adicional detallada.
  10. 10. Aplicación práctica LOPD-RGPD • Implantar medidas técnico-organizativas. ▪ Claves de acceso para cada usuario. ▪ Perfiles de usuario. ▪ Copias de seguridad. ▪ Inventario de soportes / Registro de salidas. ▪ Control acceso físico servidores. ▪ Ficheros servidor. ▪ Antivirus / Firewall. ▪ Auditorias. ▪ Cifrado de datos. ▪ Registro de accesos. ▪ ... LOPD RGPD • NO ENTRA EN DETALLE EN MEDIDAS TÉCNICAS A APLICAR. • RESPONSABILIDAD ACTIVA, CONCEPTOS COMO PRIVACY BY DESIGN O BY DEFAULT. • ANALISIS DE RIESGOS.
  11. 11. Aplicación práctica LOPD-RGPD • Implantar medidas técnico-organizativas (PAPEL) • Criterios de archivo. • Dispositivos de almacenamiento. • Destructoras. • …
  12. 12. LA LSSICE La LSSICE (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico) establece obligaciones a: Regula actividades como: ▪ Comercio electrónico. ▪ Contratación en línea. ▪ Información y publicidad. ▪ Servicios de intermediación. SIEMPRE QUE CONSTITUYAN ACTIVIDAD ECONOMICA O LUCRATIVA PARA EL PRESTADOR.
  13. 13. LA LSSICE
  14. 14. LA LSSICE ‘AVISO LEGAL’ (art.10 LSSICE): razón social, CIF, datos de contacto, datos inscripción registro, datos profesión regulada, códigos de conducta, ... ‘POLITICA DE PRIVACIDAD’ (LOPD): Informar del tratamiento que se hará de los datos recogidos. ‘POLITICA DE COOKIES’ (LSSICE): Si se utilizan, informar de su uso, finalidad y mecanismo de desactivación. ‘CONDICIONES GRALES. CONTRATACION’ (especificas para cada tienda online). ‘CLAUSULA PARA COMUNICACIONES COMERCIALES’: Posibilidad de darse de baja. Otros avisos legales: • formulario de contacto web • sección envío CV, etc. • términos y condiciones (apps)
  15. 15. LA LSSICE ‘Ley de cookies’ No es una “ley” como a tal sino el texto correspondiente a el artículo 22 de la LSSICE. - Pedir el consentimiento per su utilización. Si se continua navegando se da por aceptado. Con la primera visita es suficiente (sino hay cambios en la política). -Tipología: analíticas, publicitarias, de seguimiento, técnicas, de personalización, de sesión, de seguridad… -Mostrar una ‘política de cookies’ clara y visible que incluya: finalidad, quien las instala y como se pueden desinstalar.
  16. 16. LA LSSICE ‘Ley de cookies’
  17. 17. LA LSSICE Comunicacionescomercialesvía electrónica El régimen jurídico de este tipo de comunicaciones se regula en los artículos 19 a 22 de la LSSICE. El articulo 21.1 LSSICE prohíbe el envío de comunicaciones comerciales por correo electrónico sin el consentimiento previo y exprés del afectado. Además del consentimiento previo, se deberá informar en las comunicaciones sobre la finalidad del tratamiento i el derecho a denegar o retirar el consentimiento; inclusión de una dirección valida. No es necesario el consentimiento previo si ha existido una relación contractual previa, siempre que se hayan obtenido los datos de forma lícita y se trate de publicidad de productos/servicios similares a los contratados.
  18. 18. LA LSSICE CONSEJOS AEPD 1) Inscribirse lista robinson - fichero exclusión publicitaria. 2) Utilizar las fórmulas que den las empresas para no recibir publicidad no deseada. 3) Evita dar tu consentimiento para que te envíen publicidad cuando participas en un concurso. 4) Si ya has dado tu consentimiento, puedes retirarlo. 5) Ejerce tu derecho de oposición. 6) Ejerce tu derecho de cancelación. 7) Solicita que tus datos no aparezcan en la guía telefónica. 8) ¿Dónde puedo reclamar? AEPD y CONSUMO.
  19. 19. Aplicación práctica LOPD RESUMEN- ¿Qué tiene que tener mi negocio, actividad, web? ▪ Ficheros registrados a la AEPD (clientes, proveedores, trabajadores, usuarios web, etc.) ▪ Tener un documento de seguridad actualizado. ▪ Firmar compromisos de confidencialidad con trabajadores (si hay). ▪ Firmar acuerdos con encargados de tratamiento externos. ▪ Incluir cláusulas de información y consentimiento (mail, facturas, documentos, ...). ▪ Avisos legales web (aviso legal, política privacidad, política cookies, newsletter, etc) ▪ Atender los derechos ARCO. ▪ Implantar las medidas técnicas (RD1720/2007).
  20. 20. Errores habituales ❖ NO tener los ficheros inscritos a la AEPD. ❖ Tener solo los ficheros, no la documentación al día. ❖ No atender los derechos ARCO – baja newsletter. ❖ Realizar la auditoría a través de la ‘tripartita'. ❖ Controlar el correo del trabajador sin informar. ❖ Pensar: ‘yo no trato datos, esto a mi no me afecta’. ❖ Copiar el aviso legal de otra página web.
  21. 21. El derecho al olvido Es la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet. Hace referencia al derecho de impedir la difusión de información personal a través de internet cuando esta es obsoleta o ja no tiene relevancia ni interés publico, aunque la publicación original sea legitima. • ¿Puedo ejercer el derecho al olvido ante el buscador sin acudir a la fuente? SÍ • Si lo ejerzo ante el buscador, ¿la info desaparecerá de Internet? NO • ¿Cómo lo ejerzo? Formularios del propio buscador. Si la entidad no responde a la petición o el ciudadano considera que la respuesta no es la adecuada puede solicitar que la AEPD tutele sus derechos.
  22. 22. Datos en la nube
  23. 23. El Nuevo Reglamento Introducción. • Aplicación a partir del 25 de mayo de 2018 – 8 MESES • MOTIVOS: • Incremento del intercambio de datos (cambios tecnológicos) • Necesidad de un marco normativo único para toda la UE. • OBJECTIVOS: • Dar más garantías de control al ciudadano. • Simplificar la regulación. • Medidas especificas para los grandes de internet. • Libre circulación de datos personales en la UE. • Establecer reglas claras para la transferencia internacional de datos. De la BUROCRACIA a la CULTURA EMPRESARIAL por la privacidad.
  24. 24. El Nuevo Reglamento Aspectosmás relevantes. • Se amplia el ámbito de aplicación a RF i ET no establecidos en la UE. • Consentimiento libre, informado, especifico, inequívoco y para las diferentes finalidades. Prohibido consentimiento tácito o casillas pre-marcadas en páginas web. • Transparencia en los avisos legales (leguaje claro y comprensible). • Clausulas de información y consentimiento por capas. • Se mantienen los derechos ARCO pero no plazos de respuesta. • Se contempla el derecho al olvido (supresión) y portabilidad de datos. • Desaparece la obligación de notificar ficheros a la AEPD. • Realizar evaluaciones de impacto. • Notificar ‘violaciones de seguridad’ a la autoridad de control y al afectado. • Aparece la figura del DPO. • Sistema de ventanilla única. • Responsabilidad proactiva de las empresas (privacy by design and privacy by default). • Regulación de las transferencias internacionales de datos. • MULTAS DE HASTA 20 MILLONES DE EUROS o 4% DE LA FACTURACIÓN.
  25. 25. ¿Cómo puede ayudarte Nominalia? Dos tipos de servicio: autogestionadoo con asesoramiento
  26. 26. ¿Cómo funciona el servicio LOPD de Nominalia? Llámanos y en pocosdías tendrás tu negocioal día de la Ley de Protecciónde datos Llámanos al 93 288 40 62 ¡Te informamossin compromiso!
  27. 27. FAQs • ¿Qué servicios incluye cada paquete? • ¿Sirve el mismo servicio para varias empresas? • ¿Puedo obtener con este servicio los textos legales para diferentes dominios? • Me voy a establecer como autónomo, pero todavía no he hecho los trámites, ¿puedo contratar el servicio ahora? • Tengo un blog, no vendo nada, ¿me afecta la Ley? • ¿Puedo utilizar Dropbox para la gestión en la nube? • Si somos una empresa de más de 20 empleados, ¿podemos contratar el servicio? • ¿Cada cuándo tengo que renovar el servicio?
  28. 28. Nombre y apellido ponente Cargo y empresa ¿Preguntas?
  29. 29. MUCHAS GRACIAS POR VUESTRAATENCIÓN Más información: www.nominalia.com/adaptacion-lopd/ Atención al Cliente: 93 288 40 62 Encontrarás el material de este webinar y mucho más en www.escueladeinternet.com

×