ATTEST. Ley 15/99 Protección de Datos de Carácter personal. Problemática de aplicación en el ámbito empresarial

Transcripción

1 Ley 15/99 Protección de Datos de Carácter personal Problemática de aplicación en el ámbito empresarial Ponente: D. Javier Lizarralde Socio de la empresa C/ Henao nº BILBAO Tel: Fax: Paseo Salamanca, nº 14, 1º SAN SEBASTIAN Tel: Fax: Avda. Brasil nº 29, 1º MADRID Tel: Fax: Galileo, 218, entr. 1ª BARCELONA Tel: Fax:

2 PROTECCION DE DATOS PERSONALES consideraciones generales La confidencialidad en el ámbito empresarial La información: ACTIVO para toda organización Deber de confidencialidad inherente a la actividad empresarial y profesional Aspectos novedosos - Trabajo en equipo - Uso de nuevas tecnologías (TICs) Modificación de las relaciones entre empresas. - Centralización de datos Qué hacer? gestión más eficaz. amenazas para seguridad de la información. 1 Garantizar los derechos de los interesados 2 Difundir y conocer leyes, códigos deontológicos, normas, recomendaciones sectoriales, políticas internas de seguridad 3 Implantar en las organizaciones las salvaguardas necesarias logística material y humana

3 PROTECCION DE DATOS PERSONALES consideraciones generales Dato de carácter personal Cualquier información concerniente a personas físicas identificadas o identificables

4 planteamientoyproblemática L.O.P.D. Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal Objeto de la Ley: Garantizar y proteger el honor e intimidad personal y familiar de las personas físicas en lo que concierne al tratamiento de los datos personales. Estos derechos vinculan a todos los poderes públicos, por lo que cualquier ciudadano podrá recabar su tutela a través los Tribunales Ambito de la Ley: La Ley afecta a los datos registrados o que vayan a ser incluidos en soporte físico susceptibles de tratamiento (automatizado o no), total o parcialmente; así como a toda modalidad de uso posterior de los mismos (incluso no automatizado). Es decir afecta a toda información organizada, con datos de carácter personal, en ficheros automatizados y en soporte papel.

5 planteamientoyproblemática L.O.P.D. Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal La normativa afecta a todo aquel que, con fines profesionales: Trate datos personales (clientes, proveedores, empleados, etc.) Especialmente si utiliza nuevas tecnologías en su negocio informatización (ficheros automatizados), aunque también afecta a ficheros en soporte papel. Se establecen obligaciones que afectan a la seguridad de la información Por la tipología de los datos Básicos (identificativos,económicos, profesionales) Medios (información fiscal) Especialmente protegidos (salud, creencias, ideología, tendencia sexual, etc.) Por el uso que se realiza de los datos acceso de terceros fines promocionales cesión de datos transferencias internacionales..

6 planteamientoyproblemática Situación de incumplimiento generalizado: El 95% de la pymes incumple la normativa de protección de datos personales - Consejo Superior de Cámaras de Comercio / junio de 2002 Un 93% de las empresas no respeta la legislación vigente sobre protección de datos personales Agencia de Protección de Datos (El Mundo / octubre de 2002) 405 actuaciones de inspección durante el año 2001, que han derivado en 218 procedimientos sancionadores. Sanciones por más de 21 Mill (3.600 Mill ptas) en el bienio a responsables de ficheros de titularidad privada.

7 legislaciónaplicable Constitución Española Art. 18: Se garantiza el derecho al honor, a la intimidad personal y familiar. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos. Directiva Europea 95/46/CE Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos. L.O.P.D. 15/1999 Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas. Real Decreto 994/1999 Medidas de seguridad de ficheros automatizados que contengan datos de carácter personal. Instrucciones de la Agencia de Protección de Datos (A.P.D.) Control de acceso a edificios, salas de juegos, movimientos internacionales de datos, etc. (actualmente 6 instrucciones)

8 conceptosfundamentales Dato de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables Interesado: Persona física titular de los datos que sean objeto de tratamiento. Tratamiento de datos: Operaciones que permitan recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. La ley distingue entre ficheros de titularidad pública y de titularidad privada.

9 derechosdelinteresado Al realizarse la recogida de datos, el interesado (persona física) debe ser informado de forma expresa, precisa e inequívoca de: La existencia del fichero, su finalidad y los destinatarios de la información. La Identidad y dirección del responsable del fichero. El carácter obligatorio o facultativo de la respuesta a las preguntas. La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (Art. 15, 16 y 6.4. LOPD). Principio de calidad de los datos (Art.4 LOPD) Deben ser adecuados, pertinentes y no excesivos en relación al ámbito y a la finalidad. Recabados de forma lícita. Datos exactos y actualizados. Cancelados cuando no sean necesarios.

10 ficherosnoautomatizados LOPD e Interpretaciones de la APD. Archivo estructurado s/criterios específicos relativos a personas. No es de aplicación el Reglamento de medidas de seguridad. Son aplicables las sanciones legales por incumplimiento (LOPD) D.A.1ª LOPD plazo transitorio para adaptar los ficheros no automatizados a la Ley 14 de enero de 2005 Obligaciones existentes: 1 Garantizar al interesado: Derechos de acceso, rectificación, oposición y cancelación de los datos. Derecho de información. Principio de calidad de los datos (adecuados, pertinentes y no excesivos). 2 Adoptar medidas de seguridad: Aquéllas que la lógica y la prudencia exijan para evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos (art.9 LOPD). Medidas aconsejables: guardar los datos personales bajo llave, limitación del personal con acceso a los datos, disponer de copia de los mismos en un lugar seguro, entre otras.

11 nivelesdeseguridad Nivel de Seguridad Ficheros de datos de carácter personal Medidas de seguridad Fecha de Implantación BASICO - Identificativos - Características personales, profesionales, académicas, empleo, formación, etc. - Circunstancias sociales - Datos económico-financieros - Transacciones Documento de seguridad Definición de funciones del personal Registro de incidencias Identificación/autentificación Control de acceso Gestión de soportes Copias de respaldo y recuperación 26 marzo 2000 MEDIO ALTO - Infracciones administrativas - Infracciones penales - Hacienda Pública - Servicios financieros - Solvencia patrimonial y de crédito - Suficientes para evaluar la personalidad del individuo - Ideología - Religión - Creencias - Origen racial - Salud - Vida sexual - Fines policiales Medidas del nivel anterior Responsable de seguridad Auditoria (mínimo bienal) Control de acceso físico 26 junio 2000 Medidas del nivel anterior Distribución de soportes Registro de accesos Cifrado de telecomunicaciones 26 junio 2002

12 infraccionessanciones Nivel de la infracción Descripción de la infracción Sanción prevista LEVE GRAVE MUY GRAVE 1. No atender la solicitud de rectificación o cancelación por motivos formales. 2. No proporcionar información a APD. 3. No solicitar inscripción de fichero en el RGPD (puede ser infracción grave). 4. Recoger datos personales sin proporcionar información a los afectados. 5. Incumplir el deber de secreto (puede ser infracción grave). Algunas infracciones son: 1. Recoger datos personales sin consentimiento de los afectados. 2. Tratar o usar datos de carácter personal incumpliendo la legislación (puede se infracción muy grave). 3. Mantener datos inexactos, sin rectificar o cancelar 4. Mantener ficheros, locales, programas o equipos con datos personales sin las debidas condiciones de seguridad 5. Vulnerar el deber de secreto en ficheros de nivel medio. Entre otras: 1. Recoger datos de forma engañosa o fraudulenta. 2. Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido. 3. Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD. 4. No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición. 5. No atender sistemáticamente el deber notificación de la inclusión de datos personales. 601, ,21 ( millones Ptas.) , ,05 (10-50 millones Ptas.) , ,10 ( millones Ptas.)

13 PROTECCION DE DATOS PERSONALES medidas necesarias Informar a los interesados sobre la existencia y finalidad del fichero, identidad del responsable del mismo y destinatarios de la información y garantizar los derechos que reconoce la Ley Crear y aplicar el documento de seguridad correspondiente a cada fichero Implantar las medidas de seguridad en función del tipo de datos y la utilización que se hace de los mismos Inscribir la creación, modificación o supresión de ficheros en el Registro de la Agencia de Protección de Datos Realizar auditorias especializadas de verificación del cumplimiento al menos cada dos años (ficheros que exijan medidas de seguridad de nivel medio o alto)

14 ámbitoempresarial SECTORES ESPECIALMENTE AFECTADOS Todas (Industria y Servicios) Datos de clientes, proveedores y RRHH (empleados, bolsa de trabajo) Servicios Marketing Investigación, marketing directo Servicios RRHH ETT, selección de personal Servicios de Formación Colegios, Academias Servicios de Asesoría Fiscal, contable, laboral, jurídica Otros Inmobiliarias, centros de salud, automoción, asociaciones, comercios, etc. Atención: Datos empleados (salud, sindicación, c.vitae) e-commerce Controles de acceso y vigilancia (cámaras)

15 situacióntípica FICHEROS CLIENTES Identificativos Evaluación del individuo Especialmente protegidos DATOS PERSONALES SITUACIONES PROVEEDORES RECURSOS HUMANOS CONTROL DE ACCESO Acceso de terceros a datos de carácter personal Ficheros físicos Transferencias Internacionales de datos personales Cesión de datos entre empresas Múltiples centros de trabajo

16 ficherosderrhh EMPLEADOS BOLSA DE TRABAJO Datos personales Identificativos Salud bajas, reconocimientos, minusvalías Creencias afiliación sindical Identificativos Evaluación del individuo Formación, aficiones, pertenencia a asociaciones (c.vitae) Situaciones Acceso de terceros Asesoría laboral externa: nóminas Transferencias Internacionales Formación, gestión de personal Cesión de datos Comité de empresa Acceso de terceros Selección de personal externa Transferencias Internacionales Selección de personal Recogida de datos por Internet

17 accesodeterceros Externalización de servicios: Acceso de terceros a datos de carácter personal (Art. 12 LOPD) Recursos Humanos nóminas, selección de personal Marketing estudios de mercado, satisfacción del cliente, mailings Comercial agentes comerciales Otros servicios bancarios, etc. 1 Necesario para la prestación de un servicio. 2 Tratamiento por 3º regulado por contrato o cláusula de confidencialidad de los datos. 3 Encargado del tratamiento debe adoptar las medidas de seguridad necesarias para garantizar su confidencialidad.

18 proyectodeseguridad Proyecto tipo de adaptación a la normativa de protección de datos personales

19 cumplirhoy Aporta valor añadido al negocio: Al cliente, proveedor, empleado, etc.: le garantiza que sus datos personales son tratados de forma adecuada y con todas las garantías de confidencialidad. Supone la aplicación de medidas de seguridad de la información: Técnicas: copias de seguridad, registro de accesos, contraseñas, gestión de soportes, etc. Organizativas: políticas y procedimientos dirigidos a salvaguardar el sistema informático y la información contenida en él. Se incorpora la seguridad de la información como elemento de gestión empresarial. Además: Se evitan las sanciones por incumplimiento. Se inicia la concienciación de los usuarios respecto a la importancia de la seguridad informática y de la información en el uso de las nuevas tecnologías.

20 Situación a fin de proyecto LOPD Para cada sociedad: 1 Se habrán diseñado cláusulas legales para Informar a los interesados sobre la existencia y finalidad de los ficheros, identidad del responsable, destinatarios y derechos. 2 Se habrá redactado el documento de seguridad. 3 Se habrán diseñado las medidas de seguridad necesarias, a nivel técnico, organizativo y legal 4 Se habrá registrado la creación, modificación o supresión de ficheros en la APD 5 Plan de auditorias especializadas como mínimo cada dos años. Documentación generada resultado del trabajo: Doc. de Seguridad, ClausuladoAnexos, Registros, Notas Técnicas

21 PRESENTACION DE SERVICIOS

22 P R E S E N T A C I Ó N nació en 1990 como un proyecto independiente de Firma de Auditoría y Consultoría, orientada a dar servicios profesionales a empresas, instituciones y organismos públicos bajo valores como el rigor, la calidad, la entrega y el compromiso. La confianza que nuestros clientes han venido depositando en los servicios que prestamos, ha contribuido a la constante ampliación de nuestras áreas de actividad. Nuestro crecimiento se fundamenta en el esfuerzo, profesionalidad e identificación del personal de nuestra Firma. Asumimos un compromiso de futuro con nuestros profesionales y con el entorno empresarial, lo cual nos implica en la mejora continua en nuestras prácticas y nos compromete en la calidad de nuestros servicios. BILBAO Henao, BILBAO - Tel.: Fax:

23 Breve Historia 1990: Creación de como empresa de Consultoría Financiera y Auditoría 1991: Apertura de la oficina de Madrid 1992: Inicio de la actividad de Administración y Gestión a empresas. 1993: Desarrollo de la actividad Legal y Fiscal 1996: Nacimiento de la actividad de Consultoría de Gestión y Calidad 1999: Apertura de oficina en Argentina. 1999: Inicio de la actividad del Área de Tecnologías de la Información 2000: Desarrollo de la actividad de Consultoría Medioambiental 2000: Apertura de la oficina de San Sebastián 2002: Apertura de las oficinas de Barcelona y Soria 2004: Lanzamiento de la actividad de Consultoría en sistemas de Información estratégica

24 Bilbao Soria Madrid San Sebastián Barcelona En nos sentimos especialmente orgullosos de nuestro equipo humano Fundada en Bilbao en profesionales 5 oficinas Capital Independiente 8,4 millones de euros de facturación Datos de Actividad

25 Auditoria Auditoría y revisión de información financiera Auditoría Oficial de Cuentas Auditorías y due diligences de compras Examen de estados financieros Examen de liquidaciones presupuestarias de entes públicos Revisiones limitadas Consolidación financiera de grupos de sociedades Otros servicios Adaptación de información financiera a la normativa contable general, específica (sectorial) o internacional (IAS) Revisiones de control interno de información analítica y cumplimiento de objetivos y obligaciones Revisión del cumplimiento presupuestario, de legalidad y de objetivos para entes públicos Trabajos de experto independiente y periciales Informes sobre cumplimiento de programas subvencionados Fiabilidad, contraste y claridad de la información financiera para accionistas, inversores y empresarios Supuestos de actuación de auditoría previstos en la legislación mercantil Procedimientos concursales Labores de Comisario, Depositario o Síndico en procesos de quiebra Labores de Interventor Judicial en procesos de suspensión de pagos y liquidación de empresas Consultoría financiera Proyecciones financieras Asesoría en el diseño y ejecución de fusiones y adquisiciones de empresas Estudios de viabilidad Análisis de inversiones Asesoría en planificación y estructura de finanzas empresariales y corporativas Presentación Pag. 1 de 1

26 Jurídico y Fiscal Jurídico Asesoramiento mercantil y laboral Reclamación y defensa en el orden jurisdiccional, laboral o contencioso administrativo Servicio de Secretaría de Consejo de Administración y/o Junta y de Letrado Asesor Asistencia en Tribunales en impugnaciones societarias y acciones de responsabilidad Asistencia letrada en procesos concursales Fiscal Planificación fiscal Apoyo técnico en inspecciones Tributarias Elaboración y revisión de declaraciones fiscales Revisiones - Diagnosis de la situación fiscal de personas físicas y jurídicas Reestructuración de grupo empresariales y patrimonios personales Negociación y tramitación de Expedientes de Regulación de Empleo Tramitación y seguimiento de expedientes administrativos en infracciones laborales Negociaciones con la Seguridad Social Presentación Pag. 1 de 1

27 Consultoría Calidad y mejora continua Medioambiente Asesoría en Sistemas de Calidad (ISO 9000, Automoción: ISO/TS , QS 9000, EAQF, VDA) Asesoría en Calidad Total (Modelo Europeo EFQM) Auditorías internas de calidad Auditorías a proveedores Formación en técnicas de calidad (auditorías de calidad, normativa de calidad, grupos de mejora, técnicas de resolución de problemas, etc.) Gestión de Procesos (análisis y mejora de procesos) Evaluación de la satisfacción de clientes Prevención de Riesgos Evaluación de Riesgos Asesoría en Sistemas de Gestión Planes y estudios de seguridad Evaluaciones medioambientales Asesoría en Sistemas de Gestión Medioambiental (ISO 14000) EMAS/EMAS 2/e+5 Formación ambiental Memoria de sostenibilidad Due Dilligence Ambiental Agenda 21 Legislación ambiental: Econet Recursos humanos Diseño de estructuras organizativas Configuración de puestos de Manuales funcionales Estrategia Elaboración de planes estratégicos y planes de gestión Cooperación interempresarial Proyectos de expansión y reestructuración Presentación Pag. 1 de 1

28 Tecnologías de la Información Auditoría y diagnóstico de sistemas Consultoría en ERP Auditoría Informática Realización de Planes de Sistemas Consultoría estratégica de TI Planificación y Control de la Seguridad Protección de datos personales: LOPD Diseño y desarrollo de sistemas de información Planificación, control y gestión de proyectos de TI Especificación de requisitos y estudios previos Análisis funcional y diseño técnico Desarrollo de aplicaciones Formación e implantación de TI Servicios de Outsourcing Integración de sistemas Diseño de redes de comunicaciones: LAN, WAN Instalación de cableado estructurado Servicios de Técnica de Sistemas Consultoría en valoración e implantación de ERP/CRM Elaboración de Estudio de Valoración de Aplicaciones ERP/CRM existentes en el mercado Necesidades de realización de desarrollos específicos sobre el ERP/CRM Formación a los usuarios sobre parametrización y uso de la aplicación Mantenimiento correctivo y evolutivo de aplicaciones ERP/CRM Internet /Intranet / Extranet Diseño de páginas WEB estáticas y dinámicas e-comerce / e-business Business to business Integración con ERPs SIE. Sistemas de Información Estratégica Diagnóstico y diseño de un SIE Implantación de metodologías y herramientas informáticas Evaluación, seguimiento, monitorización y análisis Presentación Pag. 1 de 1

29 Muchas Gracias