PymeInnova. Aplicación práctica de la Ley de Protección de Datos.

3,818 views

Published on

Published in: Business, Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,818
On SlideShare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
199
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

PymeInnova. Aplicación práctica de la Ley de Protección de Datos.

  1. 1. ADECUACIÓN PRÁCTICA A LA LEY ORGÁNICA 15/1999 DE PROTECCIÓN DE DATOS DE CARACTER PERSONAL Ponente: Andrés Veyrat. MANACA CONSULTING
  2. 2. Adecuación Práctica a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal Introducción a Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal
  3. 3. INTRODUCCIÓN A LA LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS La protección de datos es el amparo que nos proporciona el ordenamiento jurídico contra la posible utilización no autorizada por parte de terceros de nuestros datos personales susceptibles de tratamiento automatizado, para confeccionar u obtener una información que puede afectar a la esfera más intima de la persona, a su privacidad y, por ende, a su entorno personal, familiar, social, profesional,… La LOPD protege los datos personales registrados en soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior, centrando toda su protección en el tratamiento de datos de carácter personal sea cual sea el soporte o medio de su tratamiento, con el fin de proteger los derechos fundamentales y libertades publicas de los ciudadanos.
  4. 4. INTRODUCCIÓN A LA LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS Ficheros excluidos del ámbito de aplicación de la Ley: - Ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. - Ficheros sometidos a la normativa sobre protección de materias clasificadas. - Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. - El Real Decreto 1720/2007, Reglamento de Desarrollo de la LOPD establece que no es de aplicación a los tratamientos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de personas físicas que presten sus servicios en aquellas, consistentes únicamente en datos identificativos (nombre, apellidos, cargo, dirección postal o electrónica, teléfono y fax profesionales).
  5. 5. INTRODUCCIÓN A LA LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS ÁMBITO OBJETIVO APLICACIÓN LEY DATOS DE CARÁCTER PERSONAL REGISTRADOS EN SOPORTE FISICO, SUSCEPTIBLES DE TRATAMIENTO Y USO POSTERIOR NO ES APLICABLE LA LOPD EN LOS SUPUESTOS EN LOS QUE LOS DATOS SOMETIDOS A TRATAMIENTO HACEN REFERENCIA ÚNICAMENTE AL MISMO EN SU CONDICIÓN DE ACTIVIDAD EMPRESARIAL PERSONAS JURÍDICAS DATOS EXCLUIDOS DEL RÉGIMEN DE APLICACIÓN PERSONAS FALLECIDAS EMPRESARIOS INDIVIDUALES EL TRATAMIENTO DE PERSONA DE CONTACTO ES MERAMENTE ACCIDENTAL O INCIDENTAL RESPECTO A LA FINALIDAD DEL TRATAMIENTO, REFERIDA A LAS PERSONAS JURÍDICAS EN LAS QUE EL SUJETO PRESTA SUS SERVICIOS
  6. 6. INTRODUCCIÓN A LA LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS Por dato de carácter personal se entiende cualquier información concerniente a personas físicas identificadas o identificables. Incluye, así, todo tipo de información, ya sea numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.  Datos identificativos: nombre y apellido, dirección postal o electrónica, teléfono, fax, DNI /NIF, nº de la Seguridad Social / Mutualidad, imagen o voz, firma o huella digitalizada, marcas físicas, firma electrónica, dirección IP fija, etc...  Datos de características personales: estado civil, familia, fecha y lugar de nacimiento, edad, sexo, nacionalidad, características físicas, etc...  Datos de circunstancias sociales: propiedades, estilo de vida, aficiones, licencias, pertenencia a asociaciones, etc...  Datos académicos y profesionales: formación, titulación, experiencia profesional, detalles de empleo, etc...  Datos económicos: ingresos o rentas, bienes patrimoniales, datos bancarios, datos económicos de nómina, deducciones impositivas, impuestos, seguros, hipotecas, tarjeta de crédito, etc...  Datos de transacciones: bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, etc...  Datos especialmente protegidos: Datos de salud, afiliación sindical, ideología, creencias, vida sexual.
  7. 7. INTRODUCCIÓN A LA LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS Fichero de datos de carácter personal es todo conjunto organizado de datos de carácter personal, con independencia de la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento es cualquier operación y procedimiento técnico de carácter automatizado o no, que permita la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos de carácter personal del tratamiento. Es la persona o entidad que accede a los datos para prestar un servicio al Responsable del Fichero, obligándose a prestarlo en el nivel de calidad pertinente, respetando la confidencialidad y adoptando las medidas de seguridad adecuadas.
  8. 8. INTRODUCCIÓN A LA LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento. Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual es interesado consienta el tratamiento de datos personales que le conciernen. Procedimiento de disociación de datos: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Cesión o comunicación de datos: toda revelación de datos realizada a persona distinta del interesado. Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes accesibles al público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su regulación específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, titulo, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen la consideración de fuentes accesibles al público los diarios y boletines oficiales y los medios de comunicación.
  9. 9. Adecuación Práctica a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal Obligaciones legales para la Adaptación y Cumplimiento de la LOPD. Adecuación práctica de Ficheros Empresariales
  10. 10. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD El desarrollo y evolución de las Tecnologías de la Información, que han aportado nuevos medios y métodos de trabajo, rapidez en el tratamiento y la posibilidad de interconexión e intercambio de datos, hace necesario garantizar el equilibrio entre los tratamientos de datos de carácter personal que realizan las empresas y los derechos de los ciudadanos. La LOPD establece obligaciones para todas las Empresas, Administraciones Públicas, Instituciones, Fundaciones y Profesionales sobre el tratamiento de datos de carácter personal; y, principalmente: - Legalización - Consentimiento - Seguridad - Ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de los datos.
  11. 11. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD ASPECTO JURÍDICO CONSENTIMIENTO DEBER DE INFORMACIÓN CALIDAD DE LOS DATOS CESIÓN DE DATOS ACCESO A DATOS POR CUENTA DE TERCEROS
  12. 12. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Los datos personales sólo pueden recogerse y ser sometidos a tratamiento por las empresas:  Si el interesado ha dado su consentimiento.  Si el tratamiento es necesario para el mantenimiento y/o cumplimiento de un contrato o precontrato de una relación negocial, laboral y/o administrativa.  Cuando una ley habilita el tratamiento sin requerir el consentimiento inequívoco de su titular.  Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo del Responsable del Fichero o de un terceros al que se le comuniquen los datos.  Si el tratamiento es necesario para proteger un interés vital del interesado o de otra persona, en el supuesto que el afectado se encuentre física o jurídicamente incapacitado para dar su consentimiento.
  13. 13. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD CONSENTIMIENTO. Como regla general, a la hora de recabar los datos es necesario obtener el consentimiento informado y consciente (consentimiento inequívoco) del interesado, salvo en los casos expresamente tasados por la ley. CONSENTIMIENTO TÁCITO EXPRESO EXPRESO Y POR ESCRITO EXCEPCIONES Datos Identificativos Infracción Grave Art.44.3.C Datos Salud, Vida Sexual Infracción Grave Art.44.3.C Datos Ideología Afiliación sindical Infracción muy Grave Art.44.4.C Fuentes accesibles al público Relación negocial, laboral, admin. Protección interés vital afectado Funciones Admins. Públicas
  14. 14. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD CONSENTIMIENTO. CONSENTIMIENTO TRATAMIENTO DATOS REFERIDO A TRATAMIENTO CONCRETO DELIMITACIÓN DE FINALIDADES RESTO DE CONDICIONES TRATAMIENTO CONSENTIMIENTO CESIÓN DATOS FINALIDAD A LA QUE SE DESTINARAN LOS DATOS ACTIVIDAD DESARROLLADA POR CESIONARIO CORRESPONDE AL RESPONSABLE DEL FICHERO LA PRUEBA DE LA EXISTENCIA DEL CONSENTIMIENTO DEL AFECTADO
  15. 15. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD CONSENTIMIENTO MENORES DE EDAD. NO PUEDEN RECABARSE DEL MENOR DATOS QUE PERMITAN OBTENER INFORMACIÓN SOBRE DEMÁS MIEMBROS DEL GRUPO FAMILIAR, A EXCEPCIÓN DATOS IDENTIFICATIVOS PADRES/TUTORES PARA RECABAR AUTORIZACIÓN LA INFORMACIÓN DEBERÁ EXPRESARSE EN LENGUAJE COMPRENSIBLE POR EL MENOR CORRESPONDE AL RESPONSABLE FICHERO ARTICULAR PROCEDIMIENTOS COMPROBACIÓN EDAD DEL MENOR Y AUTENTICIDAD CONSENTIMIENTO PATERNO CONSENTIMIENTO TRATAMIENTO DATOS MENORES 14 AÑOS MAYORES 14 AÑOS CONSENTIMIENTO MENOR SALVO SUPUESTOS EXIGIDOS LEY CONSENTIMIENTO PATERNO CONSENTIMIENTO PATERNO/TUTOR
  16. 16. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD REVOCACIÓN DEL CONSENTIMIENTO. REVOCACIÓN CONSENTIMIENTO RECIBIDA POR RESPONSABLE MEDIO SENCILLO Y GRATUITO SOLICITUD AFECTADO CESE EN EL PLAZO MÁXIMO 10 DÍAS, POSIBILIDAD BLOQUEO ART.16.4 LOPD COMUNICACIÓN REVOCACIÓN A CESIONARIOS EN PLAZO MAXIMO 10 DIAS RESPUESTA EXPRESA INTERESADO MAIL TELF. GRATUITO PREFRANQUEO
  17. 17. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD DEBER DE INFORMACIÓN AL AFECTADO. Cuando los datos sean recabados del propio interesado, se deberá informar al interesado de forma expresa, precisa e inequívoca de: DEBER DE INFORMACIÓN EXISTENCIA DEL FICHERO, FINALIDAD Y DESTINATARIO CARÁCTER OBLIGATORIO O FACULTATIVO RESPUESTAS CONSECUENCIA OBTENCIÓN DATOS / NEGATIVA A SUMINISTRARLOS POSIBILIDAD EJERCICIO DE DERECHOS INFRACCIÓN LEVE INFRACCIÓN LEVE INFRACCIÓN GRAVE INFRACCIÓN LEVE IDENTIDAD Y DIRECCIÓN DEL RESPONSABLE TRATAMIENTO INFRACCIÓN LEVE
  18. 18. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD DEBER DE INFORMACIÓN AL AFECTADO. RECABO CONSENTIMIENTO SOLICITUD TERMINOS ART.5 LOPD CONCESIÓN PLAZO 30 DÍAS NEGATIVA AL TRATAMIENTO SILENCIO = SE CONCEDE EL CONSENTIMIENTO PODRÁ ADJUNTARSE LA LEYENDA A FACTURAS EN CASO DE DEVOLUCIÓN COMUNICACIÓN, NO SE PODRÁN TRATAR LOS DATOS FACILITAR AL AFECTADO UN MEDIO SENCILLO Y GRATUITO PARA MANIFESTAR SU OPOSICIÓN AL TRATAMIENTO PARA MISMOS TRATAMIENTOS Y FINALIDADES, SOLO PODRÁ SOLICITARSE CONSENTIMIENTO CADA 12 MESES
  19. 19. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD DEBER DE INFORMACIÓN AL AFECTADO. RECABO CONSENTIMIENTO PARA FINALIDADES DISTINTAS RELACIÓN CONTRACTUAL DEBERÁ PERMITIRSE AL AFECTADO QUE MANIFIESTE EXPRESAMENTE SU NEGATIVA A TRAVÉS DE CASILLAS DE AUTOMARCACIÓN FACILITANDO MEDIOS SENCILLOS Y GRATUITOS DE OPOSICIÓN
  20. 20. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD ACREDITACIÓN DEL DEBER DE INFORMACIÓN AL AFECTADO. DEBER INFORMACIÓN PRUEBA SOLICITUD TERMINOS ART.5 LOPD MEDIO DE RECOGIDA QUE PERMITA PRUEBA CUMPLIMIENTO DEBER DE INFORMACIÓN CONSERVACIÓN SOPORTE DE RECOGIDA DATOS HASTA FINALIZACIÓN TRATAMIENTO SE PERMITE CONSERVACIÓN A TRAVÉS DE MEDIOS ELECTRÓNICOS (DIGITALIZACIÓN SOPORTES RECOGIDA DATOS)
  21. 21. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD CALIDAD DE LOS DATOS. Los datos personales deben adecuarse a la finalidad para la que fueron recabados, ser exactos, no mantenerse indefinidamente sin justificación y ser recogidos de forma lícita. CALIDAD DATOS ADECUADOS, PERTINENTES Y NO EXCESIVOS EN RELACIÓN AL FIN USO DEL DATO PARA FINALIDAD COMPATIBLE PARA LA QUE FUE RECOGIDO DATOS EXACTOS Y PUESTOS AL DIA ALMACENAMIENTO PERMITE EJERCICIO DERECHO DE ACCESO INFRACCIÓN GRAVE INFRACCIÓN GRAVE INFRACCIÓN GRAVE INFRACCIÓN GRAVE
  22. 22. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD CESIÓN / COMUNICACIÓN DE DATOS. La cesión de datos es toda revelación de datos realizada a persona distinta del afectado; así, el término revelación incluye consulta de datos, publicación de datos, interconexión de ficheros y comunicación del fichero a terceros. CESIÓN DE DATOS FINES DIRECTAMENTE RELACIONADOS + CONSENTIMIENTO FINES DIRECTAMENTE RELACIONADOS + EXCEPCIÓN CONSENTIMIENTO PREVIO CONSENTIMIENTO INFORMADO DE FINALIDAD, CESIÓN Y ACTIVIDAD DEL CESIONARIO INFRACCIÓN MUY GRAVE INFRACCIÓN MUY GRAVE INFRACCIÓN MUY GRAVE
  23. 23. CESIÓN DATOS CONSENTIMIENTO DEL AFECTADO RELACIÓN JURÍDICA COMPORTE COMUNICACIÓN EXCEPCIONES COMUNICACIÓN A DEFENSOR PUEBLO, TRIB. CUENTAS, JUECES Y TRIBUNALES CESIÓN ADMINISTRACIONES PÚBLICAS RELACIÓN JURÍDICA ENTRE PARTES PROTECCIÓN DEL INTERES VITAL COMPETENCIAS IDÉNTICAS O MISMAS MATERIAS RECABADOS PARA OTRA ADMINISTRACIÓN PÚBLICA FINES ESTADÍSTICOS, CIENTIFICOS, HISTÓRICOS OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  24. 24. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD En el caso que el Responsable del Fichero no haya solicitado el previo consentimiento del interesado para la cesión de los datos y, con posterioridad, proceda a cederlos a terceras empresas, deberá comunicar al afectado el consentimiento para la cesión, así como informar de los datos del cesionario, finalidades y dirección del Cesionario. Obligaciones que asume el Cesionario: - Se obliga por el sólo hecho de la cesión a cumplir con la LOPD. - Deberá informar, en la primera comunicación que realice al interesado de forma expresa, precisa e inequívoca de: a) El contenido del tratamiento, b) La procedencia de los datos, c) De la existencia de un fichero, finalidad y destinatario de la información. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición al tratamiento. e) De la identidad y dirección del Responsable del Fichero.
  25. 25. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD ACCESO A DATOS POR CUENTA DE TERCEROS. Son casos en los que existe una relación entre un tercero y el Responsable del Fichero en virtud de la cual aquél presta a este último un servicio, cualquiera que sea su naturaleza (por ejemplo, asesoría fiscal, laboral, publicidad, hosting, etc..), cuyo servicio exigirá, en muchos casos, que los datos personales almacenados en el fichero deban salir de su ubicación principal para ser conocidos y tratados por el tercero. La LOPD establece que no se considera comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Fichero. El art.12 LOPD establece que el Acceso a los datos por cuenta de terceros deberá siempre regularse a través de un contrato, preferiblemente escrito.
  26. 26. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD ACCESO A DATOS POR CUENTA DE TERCEROS ACCESO NECESARIO PARA LA PRESTACIÓN DE UN SERVICIO AL RESPONSABLE DEL FICHERO INDICACIÓN DE AUTORIZACIÓN PARA LA SUBCONTRATACIÓN A TERCEROS EL ENCARGADO DEL TRATAMIENTO SOLO TRATARÁ LOS DATOS CONFORME INSTRUCCIONES Y NO LOS APLICARÁ PARA FIN DISTINTO AL CONTRACTUAL EL ENCARGADO DEL TRATAMIENTO DEBERÁ ADOPTAR MEDIDAS DE SEGURIDAD A LOS DATOS UNA VEZ FINALIZADO EL TRATAMIENTO DEVOLVERÁ O DESTRUIRÁ LOS DATOS
  27. 27. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD ACCESO A DATOS POR CUENTA DE TERCEROS LA SUBCONTRATACIÓN SOBREVENIDA DEBERÁ SER AUTORIZADA POR RESPONSABLE DEL FICHERO AUTORIZACIÓN EXPRESA DEL RESPONSABLE AL ENCARGADO PARA LA SUBCONTRATACIÓN DE SERVICIOS NO ES NECESARIA LA AUTORIZACIÓN TRATAMIENTO DE ACUERDO INSTRUCCIONES RESPONSABLE FICHERO PREVISIÓN CONTRACTUAL DE SUBCONTRATACIÓN SERVICIOS Y EMPRESAS FORMALIZACIÓN CONTRATO ACCESO A DATOS ENTRE ENCARGADO Y SUBCONTRATISTA
  28. 28. DERECHOS ACCESO RECTIFICACIÓN DE DATOS CANCELACIÓN DE DATOS OPOSICÓN AL TRATAMIENTO DE LOS DATOS OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  29. 29.  Carácter personalísimo de los derechos. DERECHOS EJERCICIO CARÁCTER PERSONALÍSIMO DENEGACIÓN CUANDO SOLICITUD SEA FORMULADA POR PERSONA DISTNTA AL AFECTADO O NO SE ACREDITE REPRESENTACIÓN POR EL AFECTADO, ACREDITANDO SU IDENTIDAD POR SU REPRESENTANTE LEGAL POR REPRESENTANTE VOLUNTARIO DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  30. 30.  Condiciones generales para el ejercicio de los derechos. EJERCICIO DERECHOS DEBE CONCEDERSE UN MEDIO SENCILLO Y GRATUITO PARA EL EJERCICIO DE LOS DERECHOS SU EJERCICIO ES INDEPENDIENTE EL RESPONSABLE DEBERÁ ATENDER LA SOLICITUD DE EJERCICIO DE DERECHOS SIEMPRE QUE EL INTERESADO HAYA UTILIZADO UN MEDIO QUE PERMITA ACREDITAR EL ENVIO Y RECEPCIÓN DE LA SOLICITUD, Y LA MISMA CUMPLA LOS REQUISITOS DEL ART.25.1 SI EL RESPONSABLE DISPONE DE UN SERVICIO DE ATENCIÓN AL PÚBLICO, PODRÁ CONCEDERSE LA POSIBILIDAD DE EJERCICIO DE LOS DERECHOS POR DICHO MEDIO. LA IDENTIDAD SE COMPROBARÁ POR CÓDIGO DE CLIENTE DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  31. 31.  Procedimiento. EJERCICIO DERECHOS NOMBRE, APELLIDOS, FOTOCOPIA DNI DOCUMENTACIÓN REPRESENTACIÓN SOLICITUD DEL AFECTADO EL RESPONSABLE DEBERÁ PROBAR EL CUMPLIMIENTO DEL DEBER DE RESPUESTA RECIBIDA SOLICITUD, EL RESPONSABLE DEBERÁ CONTESTAR A LA MISMA EN TODO CASO (INCLUIDA SUBSANACIÓN DEFECTOS) PETICIÓN CONCRETA DIRECCIÓN NOTIFICACIÓN DOCUMENTACIÓN ACREDITATIVA EL PERSONAL DEL RESPONSABLE DEBE CONOCER EL PROCEDIMIENTO DE RESPUESTA DE SOLICITUDES EJERCICIO DERECHOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  32. 32.  Ejercicio de los derechos ante un encargado de tratamiento. EJERCICIO DERECHOS NOMBRE, APELLIDOS, FOTOCOPIA DNI DOCUMENTACIÓN REPRESENTACIÓN SOLICITUD DEL AFECTADO SI SE CONTRATO AL ENCARGADO EL EJERCICIO DE DERECHOS ESTE RESPONDERÁ A LA SOLICITUD RECIBIDA SOLICITUD, EL ENCARGADO DEL TRATAMIENTO DARÁ TRASLADO DE LA MISMA AL RESPONSABLE DEL FICHERO PETICIÓN CONCRETA DIRECCIÓN NOTIFICACIÓN DOCUMENTACIÓN ACREDITATIVA DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  33. 33.  Derecho de acceso. DERECHO DE ACCESO DERECHO A OBTENER INFORMACIÓN SOBRE SI SUS DATOS ESTÁN SIENDO OBJETO DE TRATAMIENTO, FINALIDAD DEL MISMO, ORIGEN DE LOS DATOS Y CESIONES REALIZADAS O PREVISTAS ES INDEPENDIENTE ESTE DERECHO DE LOS REGULADOS POR LA LEY 30/1992 REGIMEN JURÍDICO ADMINIS. PUBLICAS Y PROCEDIMIENTO COMÚN PODRÁ VERSAR LA SOLICITUD SOBRE UN FICHERO O SOBRE TODOS LOS FICHEROS. EL RESPONSABLE DEBERÁ INDICAR LISTA DE FICHEROS AL SOLICITANTE. DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  34. 34.  Ejercicio del derecho de Acceso. SOLICITUD ACCESO VISUALIZACIÓN EN PANTALLA PODRÁ RECIBIR LA INFORMACIÓN A TRAVÉS DE EL SISTEMA UTILIZADO PARA HACER EFECTIVO EL DERECHO DEBERÁ SER GRATUITO Y POR MEDIO DE COMUNICACIÓN ESCRITA SI EL RESPONSABLE OFRECE UN SISTEMA PARA HACER EFECTIVO EL DERECHO Y EL AFECTADO LO RECHAZASE, NO SERÁ RESPONSABLE DE LOS RIESGOS DE SEGURIDAD PARA LA INFORMACIÓN Y, SI EL PROCEDIMIENTO SOLICITADO POR EL AFECTADO IMPLICA COSTE ADICIONAL AL OFRECIDO, EL COSTE ADICIONAL DEBERÁ ABONARLO EL AFECTADO ESCRITO, COPIA O FOTOCOPIA TELECOPIA CORREO ELECTRÓNICO OTRO SISTEMA DE CONFIGURACIÓN DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  35. 35.  Otorgamiento de acceso. SOLICITUD DE ACCESO EL RESPONSABLE RESOLVERÁ LA SOLICITUD EN EL PLAZO MÁXIMO DE 30 DÍAS DESDE LA RECEPCIÓN DE LA SOLICITUD LA INFORMACIÓN FACILITADA ESTIMADA LA SOLICITUD, EL ACCESO DEBERÁ HACERSE EFECTIVO EN EL PLAZO DE LOS 10 DÍAS SIGUIENTES SERÁ LEGIBLE E INTELEGIBLE COMPRENDERÁ DATOS BASE AFECTADO ORIGEN DE LOS DATOS USOS Y FINALIDADES CESIONES Y COMUNICACIONES DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  36. 36.  Denegación derecho de acceso. DENEGACIÓN DE ACCESO PODRÁ DENEGARSE EL DERECHO DE ACCESO SI EL MISMO SE EJERCITASE EN INTERVALOS INFERIORES A 12 MESES, SALVO QUE SE ACREDITE UN INTERÉS LEGÍTIMO EN TODO CASO, EL RESPONSABLE INFORMARÁ AL AFECTADO DE SU DERECHO A RECABAR LA TUTELA DE LA AGPD PODRÁ DENEGARSE CUANDO ASÍ SE ESTABLEZCA POR LEY O EL RESPONSABLE SE ENCUENTRE SUJETO A NORMAS OBLIGATORIAS QUE IMPIDAN EL EJERCICIO DEL DERECHO DE ACCESO DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  37. 37.  Derechos de rectificación y cancelación. DERECHO A QUE SE MODIFIQUEN LOS DATOS QUE RESULTEN INEXACTOS O INCOMPLETOS RECTIFICACIÓN CANCELACIÓN DERECHO A QUE SE SUPRIMAN LOS DATOS QUE RESULTEN INADECUADOS O EXCESIVOS, SIN PERJUICIO DEL BLOQUEO DE DATOS PREVISTO POR LA LEY DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  38. 38.  Ejercicio derecho de Rectificación y cancelación. EJERCICIO DERECHO INDICACIÓN DE DATOS A QUE SE REFIERE SOLICITUD DEL AFECTADO RECIBIDA SOLICITUD RESOLVERÁ EN EL PLAZO MÁXIMO DE 10 DÍAS DATOS CORREGIDOS DOCUMENTACIÓN ACREDITATIVA SI LOS DATOS HUBIEREN SIDO CEDIDOS, INFORMAR AL CESIONARIO EN EL PLAZO DE 10 DÍAS PARA QUE RECTIFIQUE O CANCELE DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  39. 39.  Denegación derechos de rectificación y cancelación. DENEGACIÓN NO PODRÁ CANCELARSE DATOS QUE DEBAN CONSERVARSE POR OBLIGACIÓN LEGAL APLICABLE A LOS MISMOS O A LA RELACIÓN JURÍDICA/NEGOCIO ENTRE PARTES EN TODO CASO, EL RESPONSABLE INFORMARÁ AL AFECTADO DE SU DERECHO A RECABAR LA TUTELA DE LA AGPD PODRÁ DENEGARSE CUANDO ASÍ LO ESTABLEZCA UNA LEY QUE IMPIDA AL RESPONSABLE REVELAR DATOS AL AFECTADO DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  40. 40.  Derecho de oposición. DERECHO DEL AFECTADO A QUE NO SE LLEVE A CABO EL TRATAMIENTO DE SUS DATOS O SE CESE EN EL MISMO OPOSICIÓN CUANDO NO SEA NECESARIO SU CONSENTIMIENTO PARA EL TRATAMIENTO, SIEMPRE QUE EXISTA UN INTERÉS LEGÍTIMO Y FUNDADO A SU CONCRETA SITUACIÓN PERSONAL CUANDO SE TRATE DE FICHEROS DE PUBLICIDAD Y PROSPECCIÓN COMERCIAL (ART.51). CUANDO EL TRATAMIENTO TENGA POR FINALIDAD LA ADOPCIÓN DE UNA DECISIÓN REFERIDA AL AFECTADO, BASADA ÚNICAMENTE EN UN TRATAMIENTO AUTOMATIZADO DE DATOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  41. 41.  Ejercicio del derecho de Oposición. EJERCICIO DERECHO SOLICITUD DEL AFECTADO RECIBIDA SOLICITUD RESOLVERÁ EN EL PLAZO MÁXIMO DE 10 DÍAS MOTIVOS FUNDADOS Y LEGITIMOS QUE JUSTIFICAN EL EJERCICIO DEBERÁ EXCLUIR DEL TRATAMIENTO LOS DATOS O DENEGAR MOTIVADAMENTE LA SOLICITUD EN EL PLAZO DE 10 DÍAS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  42. 42.  Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos. LOS INTERESADOS TIENEN DERECHO A NO VERSE SOMETIDOS A UNA DECISIÓN CON EFECTOS JURÍDICOS O QUE LES AFECTE SIGNIFICATIVAMENTE, QUE SE BASE ÚNICAMENTE EN UN TRATAMIENTO AUTOMATIZADO DE DATOS DESTINADO A EVALUAR DETERMINADOS ASPECTOS DE SU PERSONALIDAD (RENDIMIENTO LABORAL, CRÉDITO, FIABILIDAD) PODRÁN VERSE AFECTADOS POR LA DECISIÓN SE HAYAN ADOPTADO EN EL MARCO DE UN CONTRATO A PETICIÓN DEL INTERESADO, Y SE LE OTORGUE LA POSIBILIDAD DE ALEGAR LO QUE ESTIME. DEBERÁ HABERSELE INFORMADO PREVIAMENTE DE LA POSIBILIDAD DE TALES DECISIONES ESTÉ AUTORIZADA POR UNA NORMA CON RANGO DE LEY QUE ESTABLEZCA MEDIDAS QUE GARANTICEN EL INTERES DEL INTERESADO DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
  43. 43. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD ASPECTO ORGANIZATIVO TIPOLOGIA DE DATOS Y ESTRUCTURA FICHEROS INSCRIPCIÓN Y NOTIFICACIÓN DE FICHEROS AL REGISTRO GENERAL DE PROTECCIÓN DE DATOS
  44. 44. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD LOCALIZACIÓN FICHEROS. Localización de ficheros con datos personales existentes (como por ejemplo, clientes, proveedores, colaboradores, agentes, usuarios web, trabajadores, nóminas, contactos, curriculum y selección de personal, reconocimientos médicos, concursos, etc…).La información a recabar es: - Tipología de datos que contienen los ficheros. - Determinación de las finalidades de los tratamientos realizados. - Adecuación de los datos al principio de calidad. - Trazabilidad de los datos (origen, forma y soporte de recogida, consentimiento, datos adquiridos de terceros). - Deberes de secreto y confidencialidad en el tratamiento. - Cancelaciones y bloqueo de datos. - Cesiones y transferencias internacionales de datos. - Terceras empresas encargadas del tratamiento de los datos. Recabada la información, se procederá a su análisis con la finalidad de la determinación del inventario de ficheros físicos y lógicos, así como los ficheros temporales.
  45. 45. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD INFORMACIÓN NECESARIA A RECABAR DE CADA FICHERO.  Objeto y finalidad del fichero.  Determinación del Departamento afectado.  Determinación vida del dato personal: MOMENTO IMPLICACIONES Origen y procedencia -Deber de información durante la recogida. -Recabo del consentimiento. -Solicitud de datos adecuados, no excesivos y pertinentes con el fin del tratamiento. VIDA DATO Tratamientos -Implantación medidas seguridad -Encargados tratamiento -Gestión y respeto derechos del afectado -Solo tratamientos conforme a finalidades consentidas Salida y cancelación -Cesiones de datos -Cancelaciones y bloqueos datos -Supresión datos -Supresión ficheros
  46. 46. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD ORIGEN Y PROCEDENCIA. Fuentes Internas: - Extracciones parciales para tratarlos en otro fichero para otra finalidad (obtenidos de un fichero corporativo general o fichero especifico). - Que se hayan extraído de un fichero corporativo para realizar un report concreto o bajo determinado criterio de búsqueda y se almacenan en un soporte concreto. - Extracciones puntuales: ficheros temporales de un fichero especifico, creados para una finalidad concreta y limitada en el tiempo. Fuentes Externas: - Propio interesado o su representante legal. Atención especial a datos de menores. - Otras personas distintas del interesado (debiendo informarle y, en su caso, recabar su consentimiento). - Fuentes accesibles al público. - Registros Públicos. - Entidades privadas: cesiones y comercialización de bases de datos.
  47. 47. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Soportes de recogida: a) Soporte papel. b) Soporte informático/magnético. c) Vía telemática. Procedimiento de recogida: a) Encuestas o entrevistas. b) Formularios o cupones. c) Transmisión electrónica de datos/Internet. Tipología de datos tratados. Sistema de Tratamiento. Encargado del Tratamiento. Nivel de Seguridad. Cesiones y Transferencias Internacionales de Datos.
  48. 48. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA Finalidad general: Gestión integrada de Recursos Humanos del personal laboral (gestión nóminas, gestión administrativa laboral, prevención de riesgos laborales, formación, selección de personal, seguros). 1.- Tipología de datos recogidos: Identificativos: DNI/NIF, Nº SS/Mutualidad, Nombre y apellidos, Dirección postal y electrónica, Teléfono. Datos de características personales: datos de estado civil, datos de familia, fecha nacimiento, lugar nacimiento, edad, sexo, nacionalidad, Datos académicos y profesionales: formación, titulaciones, experiencia profesional, pertenencia a colegios profesionales, Datos de detalle empleo: profesión, puesto de trabajo, datos no económicos de nómina, historial del trabajador, control horario, Datos económico-financieros: datos bancarios, datos económico de nómina, planes de pensiones, deducciones impositivas, seguros y subsidios/beneficios fiscales. Datos especialmente protegidos: afiliación sindical y datos salud (incapacidad).
  49. 49. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD 2.- FINALIDADES PREVISTAS: Gestión de Recursos Humanos. - Gestión contable, fiscal y administrativa: Gestión económica y contable, gestión fiscal, gestión administrativa. - Recursos Humanos: Gestión de personal, gestión de nóminas, formación de personal, prestaciones sociales, selección de personal, prevención de riesgos laborales. Servicios Económico-financieros y seguros: Otro tipo de seguros. - Control Horario y Selección de Personal. 3.- PROCEDENCIA Y RECOGIDA: Datos recabados del propio interesado, a través de encuestas, entrevistas, formularios y contratos. 4.- DATOS ESPECIALMENTE PROTEGIDOS: - Afiliación sindical: necesario consentimiento expreso y por escrito. - Datos salud para reconocimientos: consentimiento expreso y firmado. Para ciertos datos de salud (mutuas), cabe citar como ley que permite su tratamiento el RDLG 1/1994, TRLGSS. FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
  50. 50. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD 5.- Principio de calidad de los datos. - Los datos no podrán destinarse a otras finalidades distintas de las señaladas. Gestión de Recursos Humanos. -Deberán mantenerse actualizados y puestos al día. -Deberá procederse a su cancelación cuando concluya la relación laboral, procediendo primero a su bloqueo y conservación por los siguientes plazos legales: Acciones derivadas del contrato laboral: art.59 ET fija el plazo de 1 año desde la finalización relación. - Pago cuotas SS: art.21 TRLGSS establece un plazo de prescripción de 5 años. - Prestaciones indebidas: art.45.3 TRLGSS fija un plazo de 4 años. - Infracciones y sanciones del orden Social: art.4 Ley 8/1988 fija plazos de 3 y 5 años (prestación desempleo). - Conservación documentación: art.13 Ley 8/1988, fija un plazo de 5 años. FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
  51. 51. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD 6.- Deber de información. Nuevos Contratos: Cláusula LOPD contratos laborales. • Los datos que ha proporcionado serán incorporados a un Fichero titularidad de _______, debidamente inscrito en la Agencia Española de Protección de Datos, con la finalidad de gestionar la identificación del personal, así como confeccionar las nóminas y desarrollar la gestión de recursos humanos y mantenimiento de relaciones con las Administraciones Públicas. Dado que entre sus datos pueden encontrarse algunos especialmente protegidos como datos de salud y datos de afiliación sindical, se le informa expresamente de su necesidad de tratamiento. • Así mismo, usted presta el consentimiento para las cesiones y comunicaciones a terceros, necesarias para llevar a cabo las finalidades antes expuestas, tales como entidades bancarias, Administraciones Públicas, Mutuas Laborales y, en su caso, pago de cuotas sindicales. • ________ tiene implantadas todas las medidas de seguridad exigidas por el RD. 1720/2007, a fin de garantizar la confidencialidad absoluta en el almacenamiento y tratamiento de los datos personales, así como evitar accesos por parte de terceros no autorizados. • Podrá acceder y ejercitar los derechos de acceso, rectificación, cancelación y oposición regulados por la LO. 15/1999, 13 de Diciembre, de Protección de Datos de Carácter Personal a través de carta dirigida al Responsable del Fichero a la dirección indicada en el encabezamiento. FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
  52. 52. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Contratos Preexistentes Cláusula LOPD información adjunta a nómina o enviada a través de comunicación específica. • De conformidad con la LO 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal sus datos de carácter personal necesarios para el mantenimiento y gestión de la relación laboral, se encuentran incorporados a un Fichero titularidad de __________, que tiene por finalidad gestionar la identificación del personal, gestión de nóminas y el desarrollo de la gestión de recursos humanos, así como el mantenimiento de relaciones con las Administraciones Públicas. Dado que entre sus datos pueden encontrarse algunos especialmente protegidos como datos de salud y datos de afiliación sindical, se le informa expresamente de su necesidad de tratamiento. • Así mismo, usted presta el consentimiento para las cesiones y comunicaciones a terceros, necesarias para llevar a cabo las finalidades antes expuestas, tales como entidades bancarias, Mutuas Laborales, Administraciones Públicas y, en su caso, pago de cuotas sindicales. • Podrá acceder y ejercitar los derechos de acceso, rectificación, cancelación y oposición regulados por la LO. 15/1999, 13 de Diciembre, de Protección de Datos de Carácter Personal a través de carta dirigida al Responsable del Departamento de Recursos Humanos de ________. FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
  53. 53. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD 7.- Consentimiento. Como regla general, salvo en el caso de tratarse datos especialmente protegidos, no será necesario recabar el consentimiento de los empleados para realizar aquellos tratamientos que se encuentran o puedan encuadrarse como necesarios para el mantenimiento, control y desarrollo de la relación laboral (art.6.2). a) Datos de salud: El dato de incapacidad es un dato especialmente protegido y conlleva la necesidad de solicitar el consentimiento expreso para su tratamiento. 1.- Realización de reconocimientos médicos a trabajadores: establecido por el art.22.2 Ley 31/1995, de Seguridad e Higiene en el Trabajo y Prevención de Riesgos Laborales. a) Si se trata de reconocimientos obligatorios, no será necesario el consentimiento del trabajador. b) Reconocimientos voluntarios, requiere el consentimiento expreso del trabajador. 2.- Realización de tratamientos datos de salud en el ámbito laboral: bajas laborales. Será necesario el consentimiento expreso del trabajador. FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
  54. 54. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD 8.- CESIONES DE DATOS. - Cesión de datos de trabajadores a Mutuas de Accidentes de Trabajo y enfermedades Profesionales colaboradoras de la Seguridad Social: No requerirá el consentimiento expreso del trabajador, dado que son necesarios para poder cubrir las coberturas y prestaciones exigidas, y sin las cuales no podría mantenerse lícitamente la relación laboral. - Contratación de pólizas de seguro colectivas o planes de pensiones: No será necesario recabar el consentimiento para el tratamiento y cesión de los datos de los empleados a la Compañía de Seguros con quien se tenga contratada la póliza colectiva. - Recogida y cesión datos a Agencia Tributaria: se realiza en cumplimiento de la LGT; no es necesario el consentimiento salvo en los casos del porcentaje de incapacidad (donde deberá comunicarse específicamente dicha situación al interesado en la formalización del contrato). - Comunicación de datos a la Tesorería General de la Seguridad Social: Es una obligación establecida a la Empresa y regulada en la LGSS. - Comunicación datos Fundación Tripartita (FORCEM). Al considerarse por el art.4.2 e) ET como un derecho del trabajador, deberá informarse de la cesión de los datos a la Fundación y a la Empresa que realiza la formación. FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
  55. 55. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD 9.- SELECCIÓN DE PERSONAL. CLÁUSULAS INFORMATIVAS. RECEPCIÓN CURRÍCULUMS VITAE (ALMACENAMIENTO). Tu Curriculum Vitae ha sido incorporado a un fichero automatizado de datos, que tiene como finalidad la gestión de procesos de selección de personal realizados por ________. De conformidad a la Ley Orgánica 15/1999 de Protección de Datos podrás ejercitar tus derechos de acceso, modificación, cancelación y oposición al tratamiento de tus datos personales, de manera sencilla, enviándonos una carta, adjuntando fotocopia de tu DNI, a la siguiente dirección: ___________. PROCESOS DE SELECCIÓN SIN CONSERVACIÓN POSTERIOR. __________ informa que, una vez finalizado el proceso de selección, los Currículum Vitae recibidos no serán conservados en ningún tipo de soporte (informático o papel) y se procederá a a su destrucción segura, adoptando las adecuadas medidas de seguridad. FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
  56. 56. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  57. 57. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  58. 58. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  59. 59. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Finalidad general: Gestión integrada de CLIENTES-PROVEEDORES (gestión contable, fiscal y administrativa de clientes y proveedores). 1.- TIPOLOGÍA DE DATOS RECOGIDOS: a)Identificativos: DNI/NIF, Razón Social, Nombre y apellidos, Dirección postal y electrónica, Teléfono, fax b)Datos de detalle empleo: puesto de trabajo, c)Datos económico-financieros: datos bancarios, deducciones impositivas impuestos. d)Datos de transacciones: Bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras. 2.- FINALIDADES PREVISTAS: Gestión de Clientes y Proveedores. Gestión contable, fiscal y administrativa: Gestión económica y contable, gestión fiscal, gestión administrativa, gestión de facturación, gestión de clientes, gestión de proveedores, gestión de cobros pagos, históricos de relaciones comerciales. Finalidades varias: Fines históricos, estadísticos y científicos; otras finalidades. 3.- PROCEDENCIA Y RECOGIDA: Datos recabados del propio interesado, a través de encuestas, entrevistas, FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
  60. 60. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD 4.- Consentimiento. Como regla general, no será necesario recabar el consentimiento de los clientes/proveedores para realizar aquellos tratamientos que se encuentran o puedan encuadrarse como necesarios para el mantenimiento, control, desarrollo y cumplimiento de la relación negocial (art.6.2). 5.- PRINCIPIO DE CALIDAD DE LOS DATOS. - Los datos no podrán destinarse a otras finalidades distintas de las señaladas. Gestión de CLIENTES-PROVEEDORES. - Deberán mantenerse actualizados y puestos al día. - Deberá procederse a su cancelación cuando concluya la relación negocial, procediendo primero a su bloqueo y conservación por los siguientes plazos legales: - Obligaciones Tributarias (plazo de conservación de 4 años). - Obligaciones derivadas del contrato de suministro (15 años). - Obligaciones contables (plazo de conservación de 4 años) FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
  61. 61. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD 6.- DEBER DE INFORMACIÓN. - Nuevos Contratos: Cláusula LOPD contratos con Clientes y/o Proveedores en cumplimiento art.5.1. • El Cliente/Proveedor autoriza a _____________ al uso y tratamiento informático de todos los datos de carácter personal que facilite, siendo incorporados a un fichero de tratamiento automatizado, que se encuentra debidamente inscrito en la Agencia Española de Protección de Datos, y cuya finalidad exclusiva es el seguimiento y mantenimiento de la relación contractual, así como el envío de comunicaciones informativas. • _____________ tiene implantadas todas las medidas de seguridad exigidas por el Real Decreto 1720/2007, de 11 de Diciembre, a fin de garantizar la confidencialidad absoluta en el almacenamiento y tratamiento de los datos personales, así como evitar accesos por parte de terceros no autorizados. • Podrá acceder y ejercitar los derechos de acceso, rectificación, cancelación y oposición regulados por la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal a través de carta dirigida a _________ a la dirección indicada en el encabezamiento.  No deseo recibir comunicaciones promocionales/comerciales de ___________. FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
  62. 62. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Contratos Preexistentes: Cláusula LOPD información adjunta a comunicación informativa. Con motivo de la reciente Adaptación a la Ley Orgánica 15/1999, 13 de Diciembre, de Protección de Datos de Carácter Personal del Fichero de Datos de Carácter Personal “CLIENTES-PROVEEDORES” de __________, queremos informarle que: De conformidad con la Ley Orgánica 15/1999 de Protección de Datos, le informamos de que sus datos personales forman parte de un fichero titularidad de _____________, cuya finalidad es la gestión y seguimiento de la relación contractual, así como el envío de comunicaciones informativas. Que podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición, adjuntando fotocopia de su DNI, en la dirección siguiente: ________, Att. Responsable Fichero “CLIENTES-PROVEEDORES”, C/___________________.  No deseo recibir comunicaciones promocionales/comerciales de _____________. FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
  63. 63. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Comunicaciones generales. Leyenda a incorporar en hojas de pedido, albaranes, facturas, etc… De conformidad con la Ley Orgánica 15/1999 de Protección de Datos, le informamos de que sus datos personales forman parte de un fichero titularidad de _____________, cuya finalidad es la gestión y seguimiento de la relación contractual, así como el envío de comunicaciones informativas. Podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición, adjuntando fotocopia de su DNI, en la dirección siguiente: _______________, Att. Responsable Fichero “CLIENTES-PROVEEDORES”, C/_______________. FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
  64. 64. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Comunicaciones generales. Datos obtenidos a través de formularios de recogida datos. De conformidad con la LOPD 15/1999 le informamos de que los datos proporcionados a través en el presente formulario serán incorporados, salvo que en el plazo de 30 días manifieste lo contrario, a un fichero de tratamiento automatizado titularidad de ____________ inscrito en la Agencia Española de Protección de Datos, cuya finalidad es el envío de comunicaciones informativas (postales y electrónicas) sobre sus productos y servicios, así como la gestión de la relación contractual en su caso. Si desea ejercer sus derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos, solo tiene que enviarnos una carta, adjuntando fotocopia de su DNI, _______________, Att. Responsable del Fichero. C/______________________. No deseo recibir comunicaciones promocionales / comerciales de ___________. FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
  65. 65. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Comunicaciones generales. Datos obtenidos de fuentes accesibles al público. De conformidad con la LOPD 15/1999 le informamos de que sus datos personales han sido obtenidos de fuentes accesibles al público, y han sido incorporados a un fichero titularidad de ______________, inscrito en la Agencia Española de Protección de Datos, cuya finalidad es el envío de comunicaciones informativas sobre sus servicios, así como la gestión de la relación contractual en su caso. Si desea ejercer sus derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos, solo tiene que enviarnos una carta, adjuntando fotocopia de su DNI, _______________, Att. Responsable del Fichero. C/______________________. Datos obtenidos de fuentes accesibles al público: repertorios telefónicos, ferias, medios de comunicación, grupos profesionales. FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
  66. 66. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD CLÁUSULA INFORMACIÓN LOPD RECOGIDA Y CESIÓN DE DATOS A OTRAS EMPRESAS Le informamos, de conformidad con la Ley Orgánica 15/1999, de Protección de Datos Personales que los datos facilitados van a ser incorporados, salvo que en el plazo de 30 días manifieste lo contrario, a un fichero de tratamiento automatizado titularidad de ____________ inscrito en la Agencia Española de Protección de Datos, cuya finalidad es el envío de comunicaciones informativas (postales y electrónicas) sobre sus productos y servicios, así como la gestión de la relación contractual en su caso. Asimismo, usted otorga su consentimiento expreso para la cesión de los datos a _______________,con domicilio social en ______________, para las finalidades siguientes ___________________________. Podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición a través carta, adjuntando fotocopia de su DNI, en la siguiente dirección: _________________, Att. Responsable del Fichero. C/________________.  No deseo recibir comunicaciones promocionales/ comerciales de ______.  Autorizo expresamente la cesión de mis datos a _____________ FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
  67. 67. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  68. 68. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  69. 69. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  70. 70. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Finalidad general: Control de acceso a edificaciones. 1.- TIPOLOGÍA DE DATOS RECOGIDOS: a)Identificativos: Imágenes. 2.- FINALIDADES PREVISTAS: Videovigilancia. 3.- PROCEDENCIA Y RECOGIDA: Datos recabados del propio interesado, a través de soportes magnéticos. 4.- CONSENTIMIENTO. Como regla general, no será necesario recabar el consentimiento para la grabación de imágenes con la finalidad de videovigilancia. 5.- DEBER DE INFORMACIÓN: Deberá ponerse a disposición del afectado la información necesaria para conocer la grabación de sus imágenes. FICHERO 3: FICHERO DE VIDEOVIGILANCIA – CÁMARAS SEGURIDAD
  71. 71. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD De conformidad a la Ley Orgánica 15/1999 de Protección de Datos y con la Instrucción 1/2006 le informamos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de videocámaras, se le informa sus datos personales (imágenes) se incorporarán a un fichero denominado “VIDEOVIGILANCIA”, titularidad de _______, y serán tratados con la única finalidad de seguridad a través de un sistema de vigilancia de las instalaciones, siendo conservados únicamente por el plazo de 30 días naturales, procediéndose posteriormente al borrado y/o destrucción del soporte de grabación con las debidas garantías de seguridad. Puede ejercer sus derechos de acceso, rectificación, cancelación y oposición, adjuntando fotocopia de su DNI, en_______, Departamento Responsable Seguridad. C/___________. FICHERO 3: FICHERO DE VIDEOVIGILANCIA – CÁMARAS SEGURIDAD
  72. 72. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  73. 73. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  74. 74. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  75. 75. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD ASPECTO TÉCNICO MEDIDAS DE SEGURIDAD – NIVEL DE SEGURIDAD MEDIDAS DE SEGURIDAD APLICABLES A TODOS LOS NIVELES DE SEGURIDAD ELABORACIÓN DOCUMENTO DE SEGURIDAD MEDIDAS APLICABLES A FICHEROS EN SOPORTE PAPEL ACUERDO DE CONFIDENCIALIDAD
  76. 76. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD SEGURIDAD DE LOS DATOS. El Responsable del Fichero deberá adoptar las medidas, técnicas y organizativas, necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, de acuerdo al estado de la tecnología y la naturaleza de los datos almacenados. Medidas Organizativas: aquellas medidas destinadas a establecer procedimientos, normas, reglas y estándares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros. Tienden a garantizar la confidencialidad, integridad y seguridad de los datos almacenados en programas y sistemas informáticos, que se encuentran situados físicamente en un determinado local o centro. Medidas Técnicas: medidas destinadas principalmente a la conservar la integridad de la información (su no alteración, pérdida o robo) y en menor medida a la confidencialidad de los datos personales. Los destinatarios de estas medidas son los sistemas de información, ficheros, locales, equipos y demás elementos materiales que tratan los datos.
  77. 77. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  78. 78. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD 1 AÑO DESDE LA ENTRADA EN VIGOR FICHEROS AUTOMATIZADOS PREEXISTENTES  Disposición Transitoria Segunda R.D. 1720/2007: Plazos de implantación medidas de Seguridad. FICHEROS NUEVA CREACIÓN FICHEROS NO AUTOMATIZADOS PREEXISTENTES NIVEL BÁSICO: 1 AÑO DESDE ENTRADA EN VIGOR NIVEL MEDIO: 18 MESES DESDE ENTRADA EN VIGOR NIVEL ALTO: 2 AÑOS DESDE ENTRADA EN VIGOR DESDE ENTRADA EN VIGOR 19 DE ABRIL 2008
  79. 79. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD Las medidas de seguridad se dividen en tres niveles, en función de la sensibilidad de los datos contenidos en el Fichero. - Cuando se tratan datos de salud, ideología política o religiosa, el nivel de seguridad será el alto. - Cuando se traten datos relativos a la comisión de servicios financieros, hacienda pública, etc.., o cuando de los datos de carácter personal que contenga el fichero pueda obtenerse una evaluación de la personalidad del individuo, el nivel de seguridad será el medio. - Todos los ficheros que contengan datos de carácter personal, deberán adoptar las medidas de seguridad calificadas como de nivel básico.
  80. 80. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD  Aplicación de los Niveles de Seguridad RD 1720/2007. BÁSICO MEDIO ALTO APLICACIÓN DE ESTE NIVEL A TODO FICHERO DE DATOS FICHEROS RELATIVOS A INFRACCIONES ADMINISTRATIVAS O PENALES FICHEROS RELATIVOS A SOLVENCIA PATRIMONIAL Y CRÉDITO FICHEROS DE LAS ADMINISTRACIONES TRIBUTARIAS FICHEROS DE ENTIDADES FINANCIERAS FICHEROS DE MUTUAS LABORALES, ENTIDADES GESTORAS SEG. SOCIAL, ENFERMEDADES LABORALES, ACCIDENTES TRABAJO FICHEROS QUE CONTENGAN UN CONJUNTO DE DATOS QUE OFREZCAN UNA DEFINICIÓN DE LAS CARACTERÍSTICAS Y PERSONALIDAD DEL AFECTADO QUE PERMITA EVALUAR DETERMINADOS ASPECTOS DE SU PERSONALIDAD FICHEROS QUE REFIERAN A DATOS DE IDEOLOGÍA, AFILIACIÓN SINDICAL, CREENCIAS, RELIGIÓN, SALUD O VIDA SEXUAL DATOS POLICIALES RECABADOS SIN CONSENTIMIENTO DEL AFECTADO DATOS DE VIOLENCIA DE GÉNERO
  81. 81. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD  Aplicación de los Niveles de Seguridad RD 1720/2007. FICHEROS DE OPERADORES QUE PRESTEN SERVICIOS DE COMUNICACIONES ELECTRÓNICAS O EXPLOTEN REDES DE TELECOMUNICACIONES RESPECTO A DATOS DE LOCALIZACIÓN Y TRÁFICO SE TRATEN CON LA ÚNICA FINALIDAD DE REALIZAR TRANSFERENCIAS DINERARIAS NIVEL DE SEGURIDAD MEDIO + REGISTRO ACCESOS NIVEL ALTO TRATAMIENTO DE DATOS ESPECIALMENTE PROTEGIDOS SE TRATE DE TRATAMIENTOS NO AUTOMATIZADOS QUE TRATEN DICHOS DATOS DE MANERA INCIDENTAL O ACCESORIA SIN GUARDAR RELACIÓN CON LA FINALIDAD DEL FICHERO FICHEROS QUE CONTENGAN DATOS DE SALUD (GRADO DE DISCAPACIDAD O DECLARACIÓN DISCAPACIDAD O INVALIDEZ) TRATADOS CON MOTIVO DEL CUMPLIMIENTO DE DEBERES PÚBLICOS NIVEL DE SEGURIDAD BÁSICO
  82. 82. ENCARGADO DEL TRATAMIENTO. ELABORACIÓN DE UN DOCUMENTO SEGURIDAD TRATAMIENTO DE DATOS EN UBICACIÓN DEL ENCARGADO IDENTIFICACIÓN FICHERO, RESPONSABLE, FINALIDADES DEL TRATAMIENTO Y FECHA COMIENZO - FIN DEL MISMO IMPLANTACIÓN DE MEDIDAS DE SEGURIDAD APLICABLES EN FUNCIÓN NIVEL DE SEGURIDAD Y MEDIDAS ADICIONALES ESTABLECIDAS POR RESPONSABLE FICHERO ESTAR REGULADO CONTRACTUALMENTE QUEDAR CONSTANCIA EN EL DOC. SEG. CUMPLIR MEDIDAS DE SEGURIDAD FIJADAS TRATAMIENTO DE DATOS EN UBICACIÓN DEL RESPONSABLE O VÍA ACCESO REMOTO OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  83. 83.  Prestaciones de servicio sin acceso a datos. OBLIGACIONES ESPECÍFICAS DE SECRETO Y CONFIDENCIALIDAD ESTAR REGULADO CONTRACTUALMENTE ESPECIFICACIÓN DETALLADA SERVICIO PROHIBICIÓN EXPRESA DE ACCESO A DATOS DEBERÁN ADOPTARSE MEDIDAS PARA EL ACCESO A SISTEMAS Y RECURSOS QUE NO IMPLIQUEN TRATAMIENTO DE DATOS  Delegación de Autorizaciones. LA DELEGACIÓN DE AUTORIZACIONES DE ACCESO DEBERÁ QUEDAR EXPRESAMENTE AUTORIZADA, RECOGIDA Y REGISTRADA EN EL DOCUMENTO DE SEGURIDAD OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  84. 84.  Acceso a datos a través de redes de comunicaciones. PROCEDIMIENTOS DE AUTORIZACIÓN A USUARIOS FIJACIÓN DE MEDIDAS DE SEGURIDAD PARA EL ACCESO A TRAVÉS DE REDES REGISTRO DE AUTORIZACIONES EN DOC. SEG. DEBERÁN ADOPTARSE MEDIDAS PARA EL ACCESO  Régimen de trabajo fuera de los locales del Responsable del Fichero. PROCEDIMIENTOS DE AUTORIZACIÓN A USUARIOS FIJACIÓN DE MEDIDAS DE SEGURIDAD PARA EQUIPOS PORTÁTILES REGISTRO DE AUTORIZACIONES EN DOC. SEG. DISPOSITIVOS PORTÁTILES TELETRABAJO OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  85. 85.  Ficheros temporales o copias de trabajo de documentos. PROCEDIMIENTOS DE AUTORIZACIÓN A USUARIOS CREACIÓN FICHEROS TEMPORALES: EXTRACCIONES PUNTUALES DATOS PARA FINALIDADES TEMPORALES MIENTRAS ESTÉN ACTIVOS, SE LES APLICAN LAS MEDIDAS DE SEGURIDAD DE ACUERDO AL NIVEL REGISTRO DE AUTORIZACIONES EN DOC. SEG. DEBERÁN ADOPTARSE MEDIDAS SIGUIENTES PROCEDIMIENTOS DE BORRADO Y DESTRUCCIÓN SEGURA UNA VEZ FINALIZADA SU UTILIZACIÓN FICHEROS DE TRABAJO CREADOS POR USUARIOS AUTORIZADOS O PROCESOS QUE SON NECESARIOS PARA UN TRATAMIENTO OCASIONAL O COMO PASO INTERMEDIO PARA LA REALIZACIÓN DE UN TRATAMIENTO. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  86. 86.  Documento de Seguridad. RECOGE MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS OBLIGADO CUMPLIMIENTO PARA PERSONAL QUE ACCEDE A SISTEMA Y DATOS ÁMBITO DE APLICACIÓN Y DESCRIPCIÓN DETALLADA RECURSOS MEDIDAS, NORMAS, PROCEDIMIENTOS QUE GARANTICEN NIVEL SEGURIDAD FUNCIONES Y OBLIGACIONES PERSONAL CONTENIDO MÍNIMO ESTRUCTURA FICHERO Y DESCRIPCIÓN SISTEMA TRATAMIENTO PROCEDIMIENTOS DE GESTIÓN Y NOTIFICACIÓN INCIDENCIAS PROCEDIMIENTOS DE COPIAS DE SEGURIDAD Y RECUPERACIÓN MEDIDAS DE SEGURIDAD TRANSPORTE, ENTRADA Y SALIDA DATOS PROCEDIMIENTOS DE DESTRUCCIÓN/BORRADO DE SOPORTES IDENTIFICACIÓN TRATAMIENTOS POR CUENTA DE TERCEROS IDENTIFICACIÓN RESPONSABLE DE SEGURIDAD CONTROLES PERIÓDICOS DE VERIFICACIÓN MEDIDAS ESTABLECIDAS NIVEL MEDIO Y ALTO OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  87. 87.  Funciones y Obligaciones del personal. DEBEN RECOGERSE EN EL DOC. SEG. LAS FUNCIONES Y OBLIGACIONES DE USUARIOS Y/O PERFILES DE USUARIOS QUE ACCEDEN AL SISTEMA Y A LOS FICHEROS DE DATOS DEBE PROPORCIONARSE A LOS USUARIOS LA INFORMACIÓN QUE LES SEA DE APLICACIÓN TIPO DE INCIDENCIA FECHA Y HORA PERSONA QUE NOTIFICA CONTENIDO PERSONA A QUIEN SE COMUNICA EFECTOS CAUSADOS MEDIDAS CORRECTORAS  Registro de Incidencias. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y REGISTRO DE INCIDENCIAS QUE AFECTEN AL SISTEMA INFORMATICO, RECURSOS Y A DATOS. TRATAMIENTO AUTOMATIZADO DE DATOS: NIVEL BÁSICO OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  88. 88.  Control de Acceso. ACCESO A RECURSOS QUE PRECISEN SEGÚN FUNCIONES SE ESTABLECERÁN MECANISMOS DE CONTROL DE ACCESOS CONCEDER, ALTERAR O ANULAR EL ACCESO DE LOS USUARIOS POR PERSONAL EXPRESAMENTE AUTORIZADO  Gestión de soportes y documentos. IDENTIFICACIÓN E INVENTARIADO DE SOPORTES SOLO ACCESIBLES PARA EL PERSONAL AUTORIZADO SALIDA DE SOPORTES DEBE ESTAR PREVIAMENTE AURORIZADA ADOPCIÓN DE MEDIDAS TRASLADO DE DOCUMENTACIÓN DESTRUCCIÓN/BORRADO DE SOPORTES DEBE GARANTIZAR LA IMPOSIBILIDAD DE RECUPERACIÓN INFORMACIÓN DOCUMENTACIÓN SENSIBLE: ARCHIVO E IDENTIFICACIÓN ESPECÍFICA GESTIÓN SOPORTES LISTA ACTUALIZADA DE USUARIOS A SISTEMA Y FICHEROS CONTROL ACCESO SISTEMA OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  89. 89.  Identificación y autenticación. IDENTIFICACIÓN INEQUÍVOCA Y PERSONALIZADA DE USUARIOS CON ACCESO A SISTEMA, RECURSOS Y DATOS CONTRASEÑAS PERSONALIZADAS DE ACCESO DOCUMENTO SEGURIDAD DEBE RECOGER EL PROCEDIMIENTO DE ASIGNACIÓN, DISTRIBUCIÓN Y ALMACENAMIENTO CAMBIO DE CONTRASEÑAS EN PERIODOS INFERIORES A 1 AÑO OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  90. 90.  Copias de respaldo y recuperación. PROCEDIMIENTOS SEMANALES DE COPIA DE SEGURIDAD DEBE GARANTIZARSE LA RESTUARACIÓN AL MOMENTO ANTERIOR A LA PÉRDIDA DE DATOS SI AFECTA A FICHEROS PARCIALMENTE AUTOMATIZADOS, PODRÁ RECUPERARSE INFORMACIÓN DE LOS DOCUMENTOS EN SOPORTE PAPEL MEDIANTE SU GRABACIÓN COMPROBACIÓN Y VERIFICACIÓN DE PROCEDIMIENTOS DE BACKUP Y RESTAURACIÓN CADA 6 MESES BACKUP DE CONFIGURACIÓN Y FICHEROS PARA PRUEBAS CON DATOS REALES ANTERIORES A IMPLANTACIÓN O MODIFICACIÓN SISTEMA INFORMÁTICO Y/O SOFTWARE DE TRATAMIENTO DE DATOS DEBE RECOGERSE PROCEDIMIENTOS Y EJECUCIÓN DE BACKUPS, PRUEBAS Y RECUPERACIONES DATOS EN DOCUMENTO DE SEGURIDAD COPIA DE SEGURIDAD OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  91. 91.  Responsable de Seguridad. PERSONA DESIGNADA POR EL RESPONSABLE DEL FICHERO ENCARGADA DE CONTROLAR Y COORDINAR LAS MEDIDAS DE SEGURIDAD. VELAR POR EL CIUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD DETERMINAR Y DESCRIBIR RECURSOS INFORMATICOS A LOS QUE SE APLICAN ESTABLECER Y COMPROBAR PROCEDIMIENTOS DE INCIDENCIAS ESTABLECER Y COMPROBAR PROCEDIMIENTOS DE BACKUP Y RECUPERACIÓN COMPROBAR PROCEDIMIENTOS IDENTIFICACIÓN Y AUTENTICACION CONCEDER, ALTERAR, ANULAR EL ACCESO AUTORIZADO A DATOS DE ACUERDO A INSTRUCCIONES RESPONSABLE DEL FICHERO AUDITAR MEDIDAS DE SEGURIDAD ELABORAR Y MANTENER ACTUALIZADA LISTA DE USUARIOS Y RECURSOS A LOS QUE TIENEN ACCESO FUNCIONES ESTABLECER PROCEDIMIENTOS CAMBIO CONTRASEÑAS, BLOQUEO DE ACCESO OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD TRATAMIENTO AUTOMATIZADO DE DATOS: NIVEL MEDIO
  92. 92.  Auditoria. REALIZACION AUDITORIA, CADA 2 AÑOS O CUANDO SE PRODUZCAN CAMBIOS RELEVANTES, DE LOS SISTEMAS DE INFORMACIÓN, INSTALACIONES DE TRATAMIENTO Y ALMACENAMIENTO DE DATOS. ADECUACIÓN DE MEDIDAS DE SEGURIDAD Y CONTROLES A LA LEGISLACIÓN VIGENTE IDENTIFICACIÓN DE DEFICIENCIAS PROPOSICIÓN MEDIDAS CORRECTORAS Y COMPLEMENTARIAS INCLUIRÁ LOS DATOS, HECHOS Y OBSERVACIONES EN LOS QUE SE BASEN LOS DICTÁMENES ALCANZADOS Y LAS RECOMENDACIONES PROPUESTAS SERÁN ANALIZADOS POR EL RESPONSABLE DE SEGURIDAD QUIEN COMUNICARÁ LOS MISMOS AL RESPONSABLE DEL FICHERO DICTAMEN AUDITORIA OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  93. 93.  Gestión de soportes y documentos. ADEMÁS DE LAS MEDIDAS DE NIVEL BÁSICO, DEBERÁ ESTABLECERSE UN PROCEDIMIENTO DE REGISTRO DE ENTRADA Y SALIDA DE SOPORTES Y DOCUMENTOS. TIPO DE SOPORTE / DOCUMENTO FECHA Y HORA DESTINATARIOCONTENIDO REGISTRO SALIDA NUMERO SOPORTE Y TIPO DE INFORMACIÓN FORMA ENVIO RESPONSABLE DE ENTREGA TIPO DE SOPORTE / DOCUMENTO FECHA Y HORA EMISORCONTENIDO REGISTRO ENTRADA NUMERO DE SOPORTES Y TIPO DE INFORMACIÓN FORMA DE ENVIO RESPONSABLE RECEPCIÓN OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  94. 94.  Identificación y autenticación.  Control de Acceso Físico. ACCESO A UBICACIONES QUE DEN SOPORTE A SISTEMA INFORMATICO POR PERSONAL EXPRESAMENTE AUTORIZADO. IDENTIFICACIÓN INEQUÍVOCA Y PERSONALIZADA DE USUARIOS CONTRASEÑAS PERSONALIZADAS DE ACCESO MECANISMOS DE BLOQUEO DE ACCESOS NO AUTORIZADOS CAMBIO DE CONTRASEÑAS EN PERIODOS INFERIORES A 1 AÑO OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  95. 95. TIPO DE INCIDENCIA FECHA Y HORA PERSONA QUE NOTIFICA CONTENIDO PERSONA A QUIEN SE COMUNICA EFECTOS CAUSADOS MEDIDAS CORRECTORAS  Registro de Incidencias. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y REGISTRO DE INCIDENCIAS QUE AFECTEN AL SISTEMA INFORMATICO, RECURSOS Y A DATOS. REGISTRO DE PROCEDIMIENTOS DE RECUPERACIÓN DE DATOS, CON INDICACIÓN DE PERSONA QUE REALIZA, DATOS RESTAURADOS Y DATOS GRABADOS MANUALMENTE. AUTORIZACIÓN EXPRESA RESPONSABLE FICHERO EJECUCIÓN DE PROCEDIMIENTOS DE RECUPERACIÓN DE DATOS OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  96. 96.  Gestión y distribución de soportes. IDENTIFICACIÓN DE SOPORTES MEDIANTE ETIQUETADO QUE IMPIDA A TERCEROS CONOCER SU CONTENIDO DISTRIBUCIÓN DE SOPORTES MEDIANTE CIFRADO DE CONTENIDO NO UTILIZACIÓN EN DISPOSITIVOS PORTÁTILES QUE NO PUEDAN CIFRARSE. EN SU DEFECTO, SE ADOPTAR CUANTAS MEDIDAS MINIMICEN RIESGOS DE ACCESO NO AUTORIZADO A LOS MISMOS  Copia de respaldo y recuperación. DEBERÁ CONSERVARSE UNA COPIA DE SEGURIDAD Y DE LOS PROCEDIMIENTOS DE RECUPERACIÓN EN UN LUGAR DISTINTO A LA UBICACIÓN DEL SISTEMA INFORMÁTICO TRATAMIENTO AUTOMATIZADO DE DATOS: NIVEL ALTO OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  97. 97.  Registros de Accesos. SE CONSERVARÁ LA INFORMACIÓN DE LOGS DE ACCESO DURANTE 2 AÑOS NO SERÁ NECESARIO EL REGISTRO DE ACCESOS SI EL RESPONSABLE DEL TRATAMIENTO ES UNA PERSONA FÍSICA Y GARANTICE QUE ÚNICAMENTE ÉL TIENE ACCESO AL SISTEMA Y TRATA LOS DATOS LOS MECANISMOS DE REGISTRO DE ACCESO ESTARÁN BAJO CONTROL DIRECTO DEL RESPONSABLE DE SEGURIDAD, SIN QUE PUEDAN SER MANIPULADOS O DESACTIVADOS. IDENTIFICACIÓN USUARIO FECHA Y HORA ACCESO FICHERO ACCEDIDODE CADA INTENTO DE ACCESO SE CONSERVARÁ TIPO DE ACCESO ACCESO AUTORIZADO O DENEGADO REGISTRO ACCEDIDO RESPONSABLE DE SEGURIDAD VERIFICARÁ MENSUALMENTE LA INFORMACIÓN DE CONTROL REGISTRADA, ELABORANDO INFORME SOBRE LOS RESULTADOS OBTENIDOS OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  98. 98.  Obligaciones Comunes. ALCANCE NIVEL DE SEGURIDAD ENCARGADO DEL TRATAMIENTO OBLIGACIONES COMUNES PRESTACIONES SIN ACCESO A DATOS DELEGACIÓN AUTORIZACIONES COPIAS TRABAJO DOCUMENTOS TRATAMIENTO NO AUTOMATIZADO DE DATOS: NIVEL BÁSICO DOCUMENTO DE SEGURIDAD FUNCIONES Y OBLIGACIONES PERSONAL REGISTRO DE INCIDENCIAS CONTROL DE ACCESO GESTIÓN DE SOPORTES RÉGIMEN DE TRABAJO FUERA UBICACIÓN OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  99. 99.  Criterios de Archivo. EL ARCHIVO SE REALIZARÁ CONFORME A LOS CRITERIOS PREVISTOS EN SU LEGISLACIÓN ESPECÍFICA; EN SU DEFECTO, SERÁN ESTABLECIDOS POR EL RESPONSABLE DEL FICHERO. CORRECTA CONSERVACIÓN LOCALIZACIÓN CONSULTA ARCHIVO GARANTIZARÁ EJERCICIO DERECHOS  Dispositivos de almacenamiento. DEBERÁN DISPONER DE DISPOSITIVOS DE APERTURA, O ESTAR RADICADOS EN ZONAS DE ACCESO RESTRINGIDO A PERSONAS AUTORIZADAS  Custodia de soportes. MIENTRAS NO SE ENCUENTRE ARCHIVADA, LA DOCUMENTACIÓN DEBERÁ SER CUSTODIADA POR LA PERSONA AUTORIZADA, QUIEN DEBERÁ IMPEDIR EL ACCESO A LA MISMA POR PERSONAS NO AUTORIZADAS. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  100. 100.  Responsable de Seguridad.  Auditoria. SE SOMETERÁN A UNA AUTIDORÍA LAS MEDIDAS ADOPTADAS CADA 2 AÑOS. SE DESIGNARÁ UN RESPONSABLE DE SEGURIDAD, ENCARGADO DE COORDINAR Y CONTROLAR LAS MEDIDAS DE SEGURIDAD APLICABLES A LOS FICHEROS NO AUTOMATIZADOS TRATAMIENTO NO AUTOMATIZADO DE DATOS: NIVEL MEDIO OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  101. 101.  Almacenamiento de la información. ARMARIOS Y ARCHIVADORES EN LOS QUE SE ALMACENEN DOCUMENTOS DEL FICHERO DEBEN SITUARSE EN ZONAS DE ACCESO RESTRINGIDO, CON PUERTAS DOTADAS DE APERTURA MEDIANTE LLAVE; EN SU DEFECTO, DEBERÁN ADOPTARSE OTRAS MEDIDAS, JUSTIFICANDO LAS MISMAS EN EL DOCUMENTO DE SEGURIDAD. TRATAMIENTO NO AUTOMATIZADO DE DATOS: NIVEL ALTO  Copia o reproducción. COPIAS DE DOCUMENTOS SÓLO PODRÁN SER REALIZADAS POR PERSONAL AUTORIZADO. DESTRUCCIÓN SEGURA DE COPIAS O REPRODUCCIONES DESECHADAS (DESTRUCTORAS PAPEL).  Acceso a la documentación. ACCESO POR PERSONAL AUTORIZADO, CON IDENTIFICACIÓN DEL MISMO. AUTORIZACIONES DE ACCESO A DOCUMENTACIÓN POR PERSONAL NO AUTORIZADO.  Traslado de Documentación. DEBERÁN ADOPTARSE MEDIDAS DIRIGIDAS A IMPEDIR EL ACCESO O MANIPULACIÓN. OBLIGACIONES LEGALES PARA LA ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
  102. 102. DUDAS Y PREGUNTAS email: aveyrat@manacaconsulting.net
  103. 103. GRACIAS POR SU ATENCIÓN

×