JAÉN PROTECCIÓN DE DATOS S.L.U. LIMPIEZAS Y PULIMENTOS ARANDA

Transcripción

1 JAÉN PROTECCIÓN DE DATOS S.L.U. LIMPIEZAS Y PULIMENTOS ARANDA UNIÓN EUROPEA FONDO SOCIAL EUROPEO Como bien sabe, es norma que le faciliten sus clientes datos de cualquier índole, dado el servicio que ustedes les presenta, por lo cual y según esta ley toda empresa que maneje dicha información tiene que estar dentro de la normativa. Este traspaso de datos, por su parte, y uso de datos, por las empresas, ha de cumplir una serie de requisitos legales según la Ley Orgánica 15/1999, de Protección de datos de Carácter Personal. Para que no estemos INCURRIENDO EN EL INCUMPLIMIENTO DE LA LEY debe hacer lo siguiente: 1º- Notificar a la Agencia de Protección de Datos (a partir de ahora Agencia) la existencia de esos ficheros de trabajadores y/o clientes que nos facilitas a nosotros. En esa notificación deberá facilitar una serie de datos entre los que están el informar a la Agencia de que nuestra Asesoria o la empresa en si, es el encargado del tratamiento de los ficheros. En ningún caso, tiene que dar los datos de los trabajadores ni de los clientes a la Agencia. 2º- Posteriormente deberá preparar un informe denominado Documento de seguridad en el que se contemplan las medidas de seguridad aplicables a esos ficheros. Por ambas partes, asesores y empresa, deben firmar un documento Contrato de acceso a terceros en el cual quedara claro que autoriza a su Asesoria o empresa a utilizar esos ficheros que previa mente ha notificado a la Agencia y comprometiéndose a no usarlo para otra cosa distinta de lo necesario para poder prestarle nuestros servicios. El incumplimiento de esta normativa podría suponer sanciones para su empresa que van de los a los y para una Asesoria desde los a los Como puede ver nos enfrentamos a una sanciones muy cuantiosas, por lo cual es necesario adaptarse, de forma urgente, a dicha normativa. Para cumplir puede hacer todas las gestiones con sus propios medios, contando con la ayuda de la Web de la Agencia o a través de muestra Empresa. Esas gestiones son GRATUITAS, en función del nivel de seguridad aplicable a su empresa, si matricula a un trabajador en dos curso subvencionado de PROTECCIÓN DE DATOS, INSCRIPCIÓN DE FICHEROS Y DOCUMENTO DE SEGURIDAD Estos curso son gratuitos porque se deduce de los seguros sociales. Nosotros al mismo tiempo que le solucionamos la regulación para su empresa, formamos al trabajador para el tratamiento de los documentos de seguridad y protección de datos de su Empresa. Le adjuntamos información sobre Protección de Datos que creemos que le será de mucha utilidad Sin otro particular un cordial saludo de Rafael Delgado Fdo: Jaén Protección de Datos S.L.U. 1

2 N u e s t r o s S e r v i c i o s Consultoría, inscripción de ficheros: Inscripción de la notificación de los ficheros en el Registro General de la Agencia de Protección de Datos. Documento de Seguridad: Redacción del Documento de Seguridad en cumplimiento con la actual normativa en Protección de Datos de Carácter Personal, que incluye la preparación de los contratos de acceso a los datos por cuenta de terceros, información a los trabajadores, cláusulas contrato servicios, y demás documentación necesaria. Proporcionarles los diferentes textos y los códigos tipo y el asesoramiento informático para cumplir con la normativa de Protección de Datos. La Auditoria. C. Gestión de soportes. D. Control de acceso físico. E. Registro de incidencias Disponemos de un cuadro de profesionales puesto a su servicio altamente cualificados para lo anteriormente comentado, Departamento Informático, Asesoria Jurídica y Centro de Estudios, todo ello englobado en la misma empresa. Para mayor información pueden dirigirse por correo electrónico a empresa@jaenprotecciondedatos.com o a nuestra página Web solicitando que les visite uno de nuestros comerciales o llamándonos al Telf Móvil: Fax: Jaén Protección de Datos S.L.U. Rafael Delgado 2

3 PROTECCIÓN DE DATOS 2009 Contenido: 1.-LEGISLACIÓN PRINCIPAL 2-DEFINICIONES BÁSICAS 3- Cuál es el objetivo de la LOPD? 4- A que empresas afecta esta legislación? 5- Cuáles son las Obligaciones principales para todas las empresas? 6- Cuándo se debe notificar un fichero? 7- Ficheros preexistentes cuando entró en vigor la LOPD? 8- Los niveles de seguridad de los datos 9.-Documento de Seguridad... 1D.-Contenido mínimo de los Documentos de Seguridad 11.-Contrato de acceso a los datos por cuenta de terceros 12.-infracciones y sanciones FORMACION EN PROTECCIÓN DE DATOS MANTENIMIENTO EN PROTECCIÓN DE DATOS ESQUEMA RELACION ASESOR-CLIENTE 1.-LEGISLACIÓN PRINCIPAL: LOPD: Ley 15/1999, de 13 de diciembre, sobre protección de datos de carácter personal. En vigor desde ENERO DEL Reglamento de Seguridad: Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal. 2-DEFINICIONES BÁSICAS: Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas e identificables. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Comunicación o cesión de datos: 3

4 Toda revelación de datos realizada a una persona distinta del interesado. Transferencia de datos: El transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional. 3- Cuál es el objetivo de la LOPD: La LOPD tiene por objeto garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente a su honor e intimidad personal y familiar. 4- A Que empresas afecta esta legislación: Entre otras, a empresas que tengan ficheros (conjunto de datos) con datos de carácter personal, es decir, ficheros que contengan datos de personas. Datos como, por ejemplo, nombre, dirección, estado de salud, ideología religiosa, etc. 5- Cuáles son las Obligaciones principales para todas las empresas: Contrato de Acceso a Terceros. El cliente tiene que proponerle este contrato porque le esta dejando el fichero de los trabajadores para que pueda realizar las nóminas, contratos y seguros sociales, y el fichero de contabilidad para poder hacer la declaración de impuestos. 6- Cuándo se debe notificar un fichero: La creación de un fichero de datos de carácter personal debe notificarse previamente a la Agencia Española de Protección de Datos (APD). La notificación debe contener la siguiente información:. Responsable del fichero.. Finalidad del fichero.. Ubicación del fichero.. Encargado del tratamiento. Tipo de datos que contiene.. Medidas de seguridad (indicando el nivel de protección básico, medio, o alto).. Cesiones de datos que se prevean hacer.. Transferencias de datos que se prevean a países terceros. El Registro General de Protección de Datos inscribirá el fichero si la notificación reúne los requisitos que se exigen. En caso de que falte algún requisito el Registro es el encargado de pedir que se completen los datos que falten o que se subsanen los posibles errores. El fichero automatizado quedará inscrito transcurrido un mes desde la presentación de la solicitud de inscripción, sin que la APD hubiera resuelto sobre la misma. 1º Notificación de ficheros a la Agencia de Protección de Datos. 2º Documento de Seguridad. 3º Contrato a terceros. 4º-Para las empresas que tienen el segundo nivel de seguridad (Empresas con trabajadores en el Régimen General) están obligados hacer la Auditoria Cada dos años. 7- Ficheros preexistentes cuando entró en vigor la LOPD: Todos los ficheros automatizados preexistentes deberían haberse notificado a la Agencia de Protección de Datos antes del 14 de enero de Los ficheros no automatizados deberán ser notificados a la Agencia antes del 24 de octubre de

5 En el caso de no estar notificados los ficheros, se estaría cometiendo una infracción leve sancionada con multas desde 601'01 euros hasta euros., además de las sanciones que conllevarían el no haber adecuado los ficheros a la LOPD. 8- Los niveles de seguridad de los datos: Existen tres niveles de seguridad, según especifica el Reglamento de Medidas de Seguridad (RMS) en el artículo 3: Nivel Básico: En este nivel se incluyen todos los ficheros que incluyan datos de carácter personal como, por ejemplo: Nombre, apellidos, dirección, teléfono, número de cuenta corriente, etc. Existe la posibilidad de que aunque los datos que contengan los ficheros se consideren de nivel básico, estos permitan obtener una evaluación de la personalidad del individuo, por lo que, en estos casos, se deberán garantizar las medidas de seguridad de nivel medio. Nivel Medio: Engloba los datos de carácter personal relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los ficheros que contengan datos sobre solvencia patrimonial y crédito. Los datos relativos a la Hacienda Pública son los que forman parte de los ficheros cuyo responsable sea una Administración Pública con potestad en materia tributaria. Es decir, todos los ficheros cuyo responsable sea la Agencia Estatal de la Administración Tributaria, los que corresponden a las Comunidades Autónomas en materia de tributos que les hayan sido cedidos o aquellos padrones fiscales, correspondientes a los tributos locales que, de los que son responsables las Haciendas Locales. Ejemplo: Información de servicios financieros, comisión de infracciones penales, comisión de infracciones administrativas, seguros y planes de seguros, etc. Nivel Alto: Los ficheros que contengan datos relativos a la ideología, religión, origen racial, salud o vida sexual y, los que hayan sido recabados para fines policiales sin el consentimiento de la persona afectada. Ejemplo: Ideología, salud, vida sexual, creencias, etc. 9.-Documento de Seguridad: Teniendo en cuenta lo dicho en el párrafo anterior, las empresas, ya sean personas físicas o jurídicas, públicas o privadas, que utilicen ficheros automatizados que contengan datos de carácter personal deben elaborar el documento de seguridad. Este documento lo elabora el responsable del fichero, y debe contener la normativa de seguridad que se va a implantar en la empresa. Es decir, en el documento de seguridad se redactan todas las medidas técnicas y de organización que se van a adoptar en la empresa para garantizar las medidas de seguridad que han de reunir los ficheros automatizados, los equipos, los programas, las personas, los locales, etc. Ahora bien, dependiendo del tipo de datos que contengan los ficheros, las empresas deberán cumplir una cantidad mayor o menor de requisitos para garantizar la confidencialidad y la integridad de esa información. Por lo tanto, el nivel de seguridad que debemos aplicar al documento de seguridad variará dependiendo de cuál sea la naturaleza de los datos. 10.-Contenido mínimo de los Documentos de Seguridad: Documento de Seguridad de Nivel Básico. El contenido mínimo que debe incluir el documento de seguridad de nivel básico es el siguiente: A. Ámbito de aplicación del documento. 5

6 B. Medidas, normas, procedimientos y estándares encaminados a garantizar el nivel de seguridad exigido. C. Funciones y obligaciones del personal. D. Estructura de los ficheros con datos personales y descripción de los sistemas de información que los tratan. Procedimientos de notificación, gestión y respuesta de incidencias. E. Procedimientos de realización de copias de respaldo y recuperación de datos. Documentos de Seguridad de Nivel Medio. El documento de seguridad de nivel medio, a demás de todos los contenidos citados en el apartado anterior, debe incluir. A. Identificación del responsable o responsables de seguridad. B. Control periódico del cumplimiento de lo dispuesto en el Documento de Seguridad. La Auditoria. C. Gestión de soportes. D. Control de acceso físico. E. Registro de incidencias. Contenido del Documento de Seguridad de Nivel Alto. Además de los contenidos de los documentos de seguridad de nivel básico y medio, el documento de seguridad de nivel alto debe incluir: A. Seguridad en la distribución de soportes. B. Registro de accesos. C. Copias de respaldo y recuperación. D. Telecomunicaciones. Para finalizar, el documento de seguridad es de obligado cumplimiento para el personal con acceso a los datos y sistemas de información. 11.-Contrato de acceso a los datos por cuenta de terceros: Cuando un tercero necesita, para poder prestar un servicio al responsable del tratamiento, acceder a los datos de carácter personal, deberá regularse este tratamiento de datos en un contrato por escrito o de alguna forma que permita acreditar su celebración y contenido. Este seria, por ejemplo, el caso de un Asesor Laboral que para poder prestar un servicio de asesoramiento (confección de nóminas, contratos, etc..) a una empresa, necesita acceder a los de los trabajadores. En dicho contrato se deben establecer, expresamente, los siguientes puntos:. El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.. No aplicará o utilizará los datos con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.. Se deberán estipular las medidas de seguridad a que se refiere el artículo 9 de la La PO referente a la seguridad de los datos que el encargado de los datos está obligado a implementar. Una vez finalizado el contrato, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato personal objeto del tratamiento. En el caso de que el encargado del tratamiento diera otra finalidad a los datos, los comunicara o los utilizara de forma que incumpliera las estipulaciones del contrato, sería considerado, también, responsable del tratamiento, y por lo tanto respondería personalmente de las infracciones que hubiera cometido. 12.-Infracciones y sanciones: Los responsables de los ficheros y los encargados de los tratamientos sancionados por incumplir la normativa sobre protección de datos. 6

7 Existen infracciones leves, graves o muy graves, pueden ser Infracciones leves. Las infracciones leves serán sancionadas con multa de 601'01 a '21 euros. Infracciones graves. Las infracciones graves serán sancionadas con multa de '21 a '05. Infracciones muy graves. Las infracciones muy graves serán sancionadas con multas de '05 a '65 euros. FORMACION EN PROTECCIÓN DE DATOS: La formación en protección de datos es necesaria para la correcta implantación del Documento de Seguridad. Dicha formación debería recibirla todo el personal administrativo y aquel que tenga acceso a las bases de datos de clientes, trabajadores, proveedores... *Es deducible al1 00% de los Seguros Sociales por el sistema de FORMACION CONTINUA, siempre que se matricule a trabajadores del Régimen General. Es recomendable que el personal realice todos los cursos. Esta formación se podrá hacer en uno o varios años. MANTENIMIENTO EN PROTECCIÓN DE DATOS: Para que su empresa este siempre al día en esta materia, le facilitamos un servicio de mantenimiento que incluye: -Notificación de modificaciones y supresiones de los ficheros inscritos en la AGPD. -Notificación de nuevos ficheros que se vayan a crear. -Actualización del documento de seguridad con base en los puntos anteriores y en los cambios en la legislación vigente. -Actualización de los modelos que se necesitan en el día a día. -Asesoramiento para la realización de la Auditoria Interna cada dos años desde la fecha del Documento de Seguridad. -Asesoramiento jurídico (exceptuando procedimientos administrativos, civiles y/o penales que se presupuestarán aparte) Curso, Precio, Duración y Modalidad: 1º- Inscripción de Archivos horas, a distancia. 2º-Documento de Seguridad horas, a distancia. 3º-Auditoria (Si la empresa lo necesitara) horas, Presencial en la Empresa. NOTA: Estos mismos servicios se pueden pagar en metálico en caso que los créditos de formación los quieran para otros cursos (Solicitar presupuesto) De esta forma las Empresas podrán cumplir la Ley de Protección de Datos sin coste alguno hacia ellas. Jaén Protección de Datos S.L.U. Rafael Delgado 7

8 8