LOPD - Ley Orgánica de Protección de Datos

2,134 views

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,134
On SlideShare
0
From Embeds
0
Number of Embeds
1,589
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

LOPD - Ley Orgánica de Protección de Datos

  1. 1. ¿Cómo nos afecta la Ley Orgánica de Protección de Datos (LOPD)?V&H Enginyers Consultors SCCL 18 de marzo de 2011Passatge El Miró 7 08304 Matarótel. 93.757.48.24 V&H Enginyers Consultorswww.vhec.net Núria Ribas nuria@vhec.net 1
  2. 2. Índice presentación• Ley Orgánica 15/1999, de Protección de Datos• Conceptos• Principios de la protección de datos• Derechos y acciones por parte del interesado• Obligaciones de los Responsables de los ficheros• Agencia Española de Protección de Datos• Incumplimiento de la Ley• Esquema implantación LOPD V&H Enginyers Consultors Núria Ribas nuria@vhec.net 2
  3. 3. Ley Orgánica 15/1999, de Protección de DatosObjeto: La protección de las libertades públicas y los derechos fundamentales de las personas físicas, especialmente el honor y la intimidad personal y familiar, en relación con el tratamiento de datos de carácter personal.Ámbito de aplicación: Se aplica a los datos de carácter personal registrados en un soporte físico, que posibilite su tratamiento y las haga susceptibles de utilización posterior por entidades públicas o privadas, (quedan excluidos los ficheros de datos mantenidos por personas físicas para uso exclusivamente personal o doméstico). V&H Enginyers Consultors Núria Ribas nuria@vhec.net 3
  4. 4. ConceptosBásicosDatos personales: Cualquier información relativa a una persona física identificada o identificable, numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de ser recogida, registrada, tratada o transmitida.Fichero: Conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, conservación, organización o acceso. V&H Enginyers Consultors Núria Ribas nuria@vhec.net 4
  5. 5. ConceptosTratamiento de datosFuentes accesibles al público: Se consideran el censo proporcional, los repertorios telefónicos y las listas de personas pertenecientes a colectivos profesionales, así como los diarios y boletines oficiales y los medios de comunicación.Disociación: Tratamiento de los datos de carácter personal de forma que la información obtenida no pueda asociarse a persona identificada o identificable. V&H Enginyers Consultors Núria Ribas nuria@vhec.net 5
  6. 6. ConceptosPersonas que intervienen Responsable del fichero: Persona física o jurídica, pública o privada, que decida sobre la finalidad, uso y contenido de un fichero de datos de carácter personal. Responsable de seguridad: Persona física designada formalmente por el Responsable del fichero para coordinar y controlar las medidas de seguridad aplicables a ficheros de datos de carácter personal. Encargado del tratamiento: Persona física o jurídica, pública o privada, que trata los datos de carácter personal por cuenta del responsable del fichero. Administrador del sistema: Profesional técnico informático, encargado de administrar o mantener el entorno operativo del fichero. V&H Enginyers Consultors Núria Ribas nuria@vhec.net 6
  7. 7. ConceptosEjemplo 1: Fichero de RRHH Contrato A Nota: también tengo proveedor B Asociación X Contrato B Responsable Gestoría del Fichero Encargado del Informático Tratamiento Proveedor de servicios V&H Enginyers Consultors Núria Ribas nuria@vhec.net 7
  8. 8. ConceptosEjemplo 2: Fichero de Alumnos (cursos SOC)Responsable del Fichero Contrato A Nota: también tengo proveedor B Generalitat Contrato B Asociación X Con permiso Encargado del Cesión a terceros Tratamiento Informático (≠ finalidad) Proveedor de V&H Enginyers Consultors servicios Núria Ribas nuria@vhec.net 8
  9. 9. ConceptosMedidas de seguridad Identificación: Procedimiento de reconocimiento de la identidad de un usuario. Autenticación: Procedimiento para comprobar la identidad de un usuario. Control de acceso: Mecanismo que permite acceder a datos personales previa identificación del usuario. Accesos autorizados: Autorizaciones concedidas a un usuario identificado para acceder a determinados datos personales. V&H Enginyers Consultors Núria Ribas nuria@vhec.net 9
  10. 10. Principios de la protección de datos Los datos recogidos serán adecuados, pertinentes y no excesivos en relación al ámbito y finalidad determinados, explícitos y legítimos para los que se hayan recogido. El tratamiento de los datos requiere el consentimiento inequívoco de la persona a la que se refieren. El responsable del fichero de datos está obligado a adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, y tratamiento o acceso no autorizados. Cualquier persona que intervenga en el tratamiento de los datos está obligada al secreto profesional sobre las mismas. Los datos personales sólo podrán comunicar a un tercero para el cumplimiento de fines directamente relacionados con las funciones de la entidad que las comunica y de la entidad que las recibe, siempre con el consentimiento previo del interesado. V&H Enginyers Consultors Núria Ribas nuria@vhec.net 10
  11. 11. Derechos y acciones por parte del interesado• Derecho de información en la recogida de datos Consentimiento informado• Consentimiento del afectado• Datos especialmente protegidos• Derecho de consulta pública y gratuita en el Registro general de protección de datos• Derecho a indemnización• Derechos ARCO – Acceso (obtener información) – Rectificación (modificar datos) – Cancelación (no cancela los datos; los bloquea) – Oposición (no tratamiento de los datos) V&H Enginyers Consultors Núria Ribas nuria@vhec.net 11
  12. 12. Derechos y acciones por parte del interesadoConsentimiento informado Encargo Cesión a terceros Finalidad B Permiso Contrato Finalidad A Pidiendo Información Agencia Persona que permiso quiere hacer de viajes un crucero V&H Enginyers Consultors Núria Ribas nuria@vhec.net 12
  13. 13. Obligaciones del Responsable de los ficheros 1. Inscripción de los ficheros 2. Legitimación de los datos y respeto de los derechos de los titulares 3. Elaboración del documento de seguridad 4. Aplicación de las medidas de seguridad 5. Deber de guardar secreto V&H Enginyers Consultors Núria Ribas nuria@vhec.net 13
  14. 14. Obligaciones del Responsable de los ficherosNotificación y inscripción de los ficheros Las personas físicas o entidades privadas que quieran crear un fichero de datos personales deben hacer una notificación de la existencia del fichero en la AEPD, mediante los formularios oficiales publicados al efecto. El Director de la AEPD a instancia del Registro General de Protección de Datos, acordará la inscripción del fichero, o bien otorgará un plazo para cumplimentar o rectificar el formulario presentado. El Registro notificará la inscripción al responsable del fichero. Mediante comunicación a la AEPD se pueden modificar o cancelar las inscripciones de ficheros. V&H Enginyers Consultors Núria Ribas nuria@vhec.net 14
  15. 15. Obligaciones del Responsable de los ficherosLegitimación de los datos Las personas a las que se solicitan datos personales deben ser informadas de: a) la existencia del fichero de datos, la finalidad de recogida de los datos y los destinatarios de la información solicitada; b) del carácter obligatorio o facultativo de la aportación de los datos solicitados y de las consecuencias de la obtención de las mismas o de la negativa a facilitarlos; c) la posibilidad de ejercer sus derechos ARCO; d) la identidad del responsable del tratamiento de los datos. V&H Enginyers Consultors Núria Ribas nuria@vhec.net 15
  16. 16. Agencia Española de Protección de Datos Es una entidad de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con independencia de las administraciones públicas en el ejercicio de sus funciones. Funciones • Velar por el cumplimiento de la legislación • Controlar su aplicación • Atender las peticiones y reclamaciones • Ejercer la potestad sancionadora (autofinanciación) • Potestad de inspecciónEn Cataluña hay la Autoridad Catalana de Protección de Datos V&H Enginyers Consultors Núria Ribas nuria@vhec.net 16
  17. 17. Incumplimiento de la LeyTipo de infracciones (Art. 44 LOPD) Leves Lleus de 900 600 a 40.000 60.000 € Graves Greus de 40.001 60.001 a 300.000 € Muy graves Molt greus de 300.001 a 600.000 € • La prescripción de las faltas es de un año para las leves, dos años para las graves y tres años para las muy graves. • El procedimiento sancionador (regulado en el RD 1720/2007) se inicia siempre por parte de la Agencia de Protección de Datos, que puede actuar por iniciativa propia o por denuncia de particulares afectados. V&H Enginyers Consultors Núria Ribas nuria@vhec.net 17
  18. 18. Esquema de Protección de DCP 1. Obligatoria para todas las empresas 10. Y después mantenerlo implantado LOPD 15/1999 RD Medidas seguridad 1720/07 2. Identificación y clasificación de ficheros: BÁSICO, MEDIO y ALTO 9. Auditoria de seguridad 3. Inscripción de ficheros IMPLANTACIÓN8. Formación interna LOPD 4. Análisis de la situación actual C o n t e n id o d e l M a n u a l / D S .0 0 .0 0 D o c u m e n t o d e S e g u r id a d Ín d i c e F e c h a : H o ja : 1 / 1 C ó d ig o T ip o d o c . N o m b re d e l d o c u m e n to R e v . F e c h a D S . 0 1 .0 0 In t ro d u c c ió n y c l a s i fi c a c i ó n d e l fi c h e r o 0 D S . 0 1 .0 1 D e f in ic i o n e s 0 D S . 0 1 .0 2 Id e n t if ic a c ió n d e l R e s p o n s a b l e d e S e g u rid a d D S . 0 1 .0 3 Id e n t if ic a c ió n d e l R e s p o n s a b l e d e l F ic h e ro Id e n t if ic a c ió n d e l p e rs o n a l c o n a c c e s o a lo s d a t o s d e D S . 0 1 .0 4 c a r á c te r p e rs o n a l D S . 0 1 .0 5 F u n c io n e s y o b l ig a c io n e s d e l p e rs o n a l E s tr u c t u r a d e l fi c h e r o , d e s c r i p c i ó n d e l s i s te m a d e D S . 0 1 .0 6 in f o rm a c i ó n y s e r v ic io s d o n d e s e p u e d e n e j e rc it a r lo s d e re c h o s d e l in t e r e s a d o D S .0 2 .0 0 Á m b i t o d e a p l i c a c i ó n d e l D o c u m e n to 0 D S .0 2 .0 1 In v e n t a r io ( H a rd w a r e y u b ic a c io n e s ) D S .0 2 .0 2 U b ic a c ió n d e l M a t e ria l In v e n t a r ia d o D S .0 2 .0 3 In v e n t a r io S o ftw a re d e d e s a r ro llo in t e rn o 0 D S .0 2 .0 4 In v e n t a r io S o ftw a re d e d e s a r ro llo e x te r n o 0 D S .0 2 .0 5 In v e n t a r io S o ftw a re C o m e rc ia l D S .0 2 .0 6 In v e n t a r io d e B a s e s d e D a to s D S .0 2 .0 7 D e s c rip c i ó n d e l S i s te m a d e I n f o r m a c i ó n D S .0 2 .0 8 P re s t a c ió n d e S e rv ic io s D S .0 3 .0 0 M e d id a s , N o r m a s , P ro c e d im ie n t o s , R e g la s y E s tá n d a re s P o l í ti c a d e S e g u r i d a d G e n e r a l d e S e g u r i d a d d e l a D S . 0 3 .0 1 in f o rm a c i ó n P o l í ti c a d e S e g u r i d a d d e P r o t e c c i ó n d e D a t o s d e c a r á c t e r D S . 0 3 .0 2 p e rs o n a l D S . 0 3 .0 3 C la s if ic a c i ó n d e la in f o rm a c ió n D S . 0 3 .0 4 In f o rm a c i ó n a lo s e m p le a d o s D S . 0 3 .0 5 P ro c e d im ie n t o d e I d e n ti f i c a c i ó n y A u t e n t ic a c ió n D S . 0 3 .0 6 R e g i s tr o s d e A c c e s o s D s .0 3 . 0 7 P ro c e d im ie n t o d e p u e s ta a l d ía d e l D o c u m e n to D S . 0 3 .0 8 P e rs o n a l A d m in is t ra d o r d e A c c e s o s D S . 0 3 .0 9 P ro c e d im ie n t o d e G e s ti ó n e In v e n t a ri o d e S o p o rte s D S . 0 3 .1 0 P ro c e d im ie n t o s d e D e s e c h o d e S o p o rte s P ro c e d im ie n t o d e n o t if ic a c ió n , G e s t ió n y R e s p u e s t a a n t e D S . 0 3 .1 1 la s in c id e n c i a s D S . 0 3 .1 3 P r o c e d i m i e n t o d e l c o n tr o l d e l c u m p l i m i e n to D S . 0 3 .1 4 P ro c e d im ie n t o d e a u d i to r i a s d e l S i s t e m a D S . 0 3 .1 5 P ro c e d im ie n t o d e C o n tro l d e A c c e s o s F ís ic o s D S . 0 3 .1 6 P e rs o n a l A u t o r iz a d o A c c e s o F ís ic o D S . 0 3 .1 7 P ro c e d im ie n t o d e C o p ia s d e R e s p a ld o D S . 0 3 .1 8 P ro c e d im ie n t o d e R e c u p e ra c ió n D S . 0 3 .2 0 P ro c e d im ie n t o d e P ru e b a s c o n d a t o s re a le s P ro c e d im ie n t o d e G e s ti ó n y C o n tr o l d e n o m b r e d e u s u a rio D S . 0 3 .2 1 7. Ajustes en la seguridad de los y c la v e ssistemas, aprobación definitiva del 5. Elaboración del borrador delmanual de seguridad, por parte de la 6. Elaboración de formularios: manual de seguridad según NIVEL propia empresa Legitimación, Outsourcing, Derechos afectados V&H Enginyers Consultors Núria Ribas nuria@vhec.net 18
  19. 19. Gracias por vuestra atención V&H Enginyers Consultors SCCL Passatge El Miró 7 08304 Mataró tel. 93.757.48.24 www.vhec.net V&H Enginyers Consultors Núria Ribas nuria@vhec.net Núria Ribas nuria@vhec.net 19

×