IMPLANTACIÓN DE LA LOPD

Transcripción

1 IMPLANTACIÓN DE LA LOPD LOPD: Ley Orgánica de Protección de Datos PRESENTACION En el desarrollo de su actividad, todas las empresas y profesionales necesitan disponer y manejar gran cantidad de datos de carácter personal, ya sea para elaborar facturas, confeccionar las nóminas de sus empleados, o para acciones de marketing comercial, o incluso para sus transacciones telemáticas. Ello lleva implícito un proceso de recogida, almacenamiento y uso de la información personal. Pero, somos conscientes de la importancia de esa información?, podemos compartir esos datos con otra empresa?, cumplimos la normativa vigente? Por ello es necesario saber qué es la LOPD La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto 1720/2007, Reglamento de Desarrollo de la LOPD (RLOPD) imponen una serie de obligaciones en la recogida, almacenamiento y utilización de los datos personales. La adecuación a esta legislación es de carácter obligatorio desde el año 1999, por lo cuál es importante adecuarse cuanto antes a esta normativa para evitar futuras sanciones que la Agencia Española de Protección de Datos ( pudiera aplicar muy estrictamente a las entidades que no lo cumplen. La Ley Orgánica 15/99 de Protección de Datos de Carácter Personal, garantiza y protege los derechos fundamentales de privacidad de las personas físicas El problema que se nos plantea a las empresas Las empresas y profesionales que dispongan de ficheros con datos de carácter personal deben cumplir una serie de obligaciones: Notificar y solicitar la inscripción de los ficheros que contengan datos de carácter personal de clientes, proveedores, trabajadores, etc. a la Agencia Española de Protección de Datos. La normativa indica que esta acción debe realizarse ANTES de proceder a la recogida o tratamiento de datos, por lo que si aún no se ha llevado a cabo, es importante que se tomen medidas inmediatas. 1

2 * Adecuar la empresa a las obligaciones establecidas para recoger, tratar y comunicar datos personales. * Elaborar el Documento de Seguridad obligatorio de acuerdo con el RD1720/2007. Preparar la información necesaria, decidir los datos afectados por la LOPD, identificar los ficheros, revisar las medidas de seguridad, elaborar los contratos, cláusulas legales, adecuar la empresa a la normativa, supone una tarea difícil de asumir para muchas empresas. La solución la proporciona Vectore desde su paquete de servicios relacionados con la Implantación de la LOPD Ventajas de adecuarse a la LOPD * Tranquilidad, evitará sanciones de la AEPD. * Mejor imagen ante clientes y colaboradores. * Protección para datos vitales de su negocio QUE DATOS E INFORMACIÓN SE DEBEN PROTEGER? Los datos a proteger son aquellos que recogen cualquier información concerniente a personas físicas identificadas o identificables. * Nombre, apellidos, dirección, DNI., población, teléfono, fax, dirección electrónica. * Estado civil, fecha de nacimiento, edad, nacionalidad, sexo. * Formación, titulación, historial, experiencia profesional, pertenencia a colegios. * Profesión, puesto de trabajo, historial del trabajador. * Rentas, bienes patrimoniales, ingresos, prestamos, créditos, avales, inversiones, plan de pensiones, jubilación, datos económicos de nominas, transacciones, indemnizaciones. * Situación militar, estilo de vida, aficiones, pertenencia a club o asociaciones. * Actividades y negocios, suscripciones a publicaciones, licencias comerciales. * Datos de salud, vida sexual, religión, creencias, ideología, origen racial, afiliación sindical. * Imágenes. 2

3 LA REGULACION DE LAS COOKIES Qué son las Cookies? Las cookies son archivos que almacenan información sobre el comportamiento de un usuario en Internet como qué páginas ha visto, tiempo que estuvo navegando, en qué secciones hizo click, y que las empresas utilizan para poder personalizar su navegación o sugerir publicidad de interés al cliente. El uso de las cookies es muy común en las tiendas online, blogs, y en las web que almacenan datos de posicionamiento. Regulación de las Cookies El Real Decreto-Ley 13/2012, de 30 de marzo, transpone la Directiva 2009/136/CE y modifica la LSSICE. Algunas cuestiones terminológicas: - Qué: fichero de almacenamiento y recuperación de datos. - Dónde: equipos terminales. - Quién: destinatarios. Información al usuario. Configuración de navegadores. Exclusiones. Régimen sancionador aún no adecuado. Quién y qué se debe informar Con anterioridad a la navegación web, se debe informar al navegante del uso de cookies y la finalidad de la información recabada. Quién debe proporcionar la información: Responsabilidad compartida entre editor y red publicitaria, en caso de existir. Debe existir un acuerdos entre ellos. 3

4 Sobre qué se debe informar: Identificación de quién recoge la información. Para qué se recoge: perfiles y personalización de servicios. Qué información se recoge. Procedimientos para revocar el consentimiento y consecuencias. Cómo ha de ser la información: Clara, precisa y adecuada al nivel técnico del usuario. Mostrada de forma prominente. Cómo debe ser el consentimiento Consciente y específico Libre Revocable Indefinido mientras sea necesario. Válido para distintas páginas o redes publicitarias. Inequívoco. Acción afirmativa. Qué tenemos que hacer Configurar la web para advertir del uso de cookies. Implementar un sistema de información comprensible sobre las cookies instalables. Al informar distingir entre los tipos de cookies (publicitarias / no publicitarias) LAS PREGUNTAS MÁS FRECUENTES A quién obliga? A cualquier profesional, entidad, empresa pública o privada que tenga datos personales (nombre, apellidos, teléfono, , formación, titulación...) de clientes, proveedores, comerciales, personal, comuneros, socios, Tanto la obligación de cumplir con la ley como las sanciones no tienen nada que ver con el tamaño de la empresa ni con el tipo de actividad. Todos debemos cumplir con esta legislación de carácter obligatorio. 4

5 Que hay que hacer? Dar de alta los ficheros en la Agencia de Protección de datos, elaborar el documento de seguridad, implantación de las medidas de seguridad,.. Lo puedo hacer yo? Por supuesto, igual que puede defenderse uno mismo en un juzgado o llevar la contabilidad, presentar los impuestos, etc... Si conoce la Ley, los procesos, e implanta las medidas necesarias dependiendo del nivel de seguridad que necesite, pasa las auditorias, Lo puede hacer usted mismo, pero debido la delicadeza de la normativa, es recomendable acudir a profesionales en la materia. Que me puede pasar? Si no cumple con la Ley, las sanciones dependiendo si son consideradas leves, graves o muy graves, pueden ser de 900 a y la Agencia Española de Protección de Datos actúa de oficio o por una denuncia. Quien me puede denunciar? Cualquier persona, cliente, proveedor, empleado, vecino, competencia, puede hacer una denuncia (gratuita) y simplemente por no tener inscritos los ficheros en el Registro General de la Agencia Española de Protección de Datos (cuya consulta es libre y gratuita) ya tiene la primera sanción y después la inspección añadirá según las deficiencias detectadas. Qué son los Niveles de Seguridad? Los ficheros que están en una organización (privada o pública), sin importar su tamaño ni su actividad, deben ser dados de alta en la Agencia Española de Protección de Datos (AGPD) en función de la naturaleza de los mismos y que se pueden diferenciar en tres niveles de seguridad: Nivel Básico: Todos los ficheros que contengan nombre, apellidos, dirección, teléfono, , nº de cuenta, imagen. Nivel Medio: Ficheros que contengan información relativa a: Hacienda pública, servicios financieros, solvencia patrimonial y crédito, los que contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo. Nivel Alto: Ficheros que contengan información relativa a: Ideología, religión, creencias, origen racial, salud, vida sexual, datos recabados para fines policiales sin consentimiento de las personas afectadas. 5

6 DECÁLOGO VENTAJAS DE IMPLANTACIÓN DE LOPD 1. Cumplimiento obligatorio de la Ley. 2. Evitamos sanciones muy elevadas. 3. Diferencia competitiva que puede suponer para una empresa el tener desarrollada su política de protección de datos. 4. Implantación de protocolos de actuación que ante diversas problemáticas habituales en el devenir cotidiano, nos ayuden a la mejora y rapidez en la respuesta ante las mismas 5. Beneficio externo derivado de la imagen que podemos ofrecer a nuestros clientes (habituales y potenciales) con el cumplimiento de la normativa, generando así una oportunidad de negocio. 6. Evitar una imagen negativa derivada del incumplimiento de la normativa, que se sepa que nos han impuesto una sanción por no haber conservado los datos personales de nuestros clientes, trabajadores y/o colaboradores. 7. Potenciar la imagen de marca de nuestra empresa siendo excelentes en un tema tan delicado como este. 8. Tener en cuenta la imagen interna, máxime cuando las sanciones en esta materia vienen habitualmente promovida por una reclamación previa de un cliente o un miembro de nuestro entorno cercano. 9. Seguridad informática que se obtiene con la aplicación de los estándares de actuación que la normativa de protección de datos 10. Aplicación de una correcta política de seguridad en las empresas, contra riesgos técnicos informáticos (virus, etc.) y riesgos sociales (mal uso de las aplicaciones informáticas. 6

7 IMPLANTACION LOPD Desde este servicio realizamos una adecuación correcta para que pueda cumplir con las obligaciones técnicas y organizativas que impone el R.D. 1720/2007. Daremos de alta los ficheros en La Agencia de Protección de Datos, los responsables de seguridad y el documento de seguridad, generamos manuales de usuarios y responsables, definición de los procedimientos, medidas de seguridad, preparamos los contratos con terceros y del personal, creación de las plantillas para adaptación de la Web, software, , documentación, etc. Todo ello a través de una aplicación informática online en la que tendrá a su disposición cualquier documento, cláusula y herramienta que necesite. MANTENIMIENTO LOPD La Ley de Protección de Datos exige que el Documento de Seguridad este siempre actualizado por lo que si su empresa u organización realiza cambios ( personal, equipos, software, autorizaciones, asesor, etc.) o sufre alguna incidencia, o tiene la obligación de hacerse una auditoria obligatoria (para ficheros de nivel medio y alto) alguien debe de realizárselo correctamente. Vectore ofrece este servicio para que no se preocupe por nada en el futuro. Existen diversos tipos de mantenimientos dependiendo de las necesidades de cada empresa, consulte en nuestras tarifas que incluye cada paquete promocional. Hacemos un mantenimiento sobre su empresa donde le actualizamos los datos de la organización, los procedimientos, el documento de seguridad, registro de incidencias, registro de accesos, controles periódicos y de las tareas pendientes, gestión de soportes, nuevos contratos y también un asesoramiento personalizado y una formación continua. 7

8 AUDITORÍA LOPD Esta obligación sólo está prevista y fijada en la normativa para los ficheros de nivel Medio y Alto Según cita textual de la Ley: <<A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.>> 1.- Auditoría RDLOPD 1720/2007: La exigida legalmente, en virtud de los artículos 96 y 110 del RDLOPD y que se refiere a las medidas de seguridad técnicas y organizativas relativas tanto a los ficheros automatizados como a los no automatizados. 2.- Auditoría LOPD: Auditoría voluntaria, referida al análisis de los principios, derechos y obligaciones. No obstante, para el Nivel de Seguridad Bajo, si han existido cambios organizativos importantes, se debe revisar el documento de seguridad y ficheros. FORMACIÓN LOPD Realizamos la Formación a usuarios y responsables de seguridad sobre los procedimientos a seguir, deber de información al ciudadano, consentimientos inequívocos, tratamiento de los datos personales, deber de secreto, seguridad de los datos, acceso de datos, traslado de información, gestión de incidencias, entradas y salidas de soportes, controles periódicos, autorizaciones, informe mensual para ficheros de nivel alto, etc. 8

9 COBERTURA DE SERVICIOS LOPD ACCIONES VECTORE COMPETENCIA OBSERVACIONES INSCRIPCION/MODIFICACION/SUPRESION DE FICHEROS ANTE LA AGPD ANALISIS PERSONALIZADO DEL SISTEMA ORGANIZATIVO E INFORMATICO INVOLUCRADO EN EL TRATAMIENTO DE DATOS No se realiza la LOPD en formato estandarizado, sino que se personaliza según empresa REDACCIÓN DEL DOCUMENTO DE SEGURIDAD LOPD En formato digital INVENTARIADO DE ACTIVOS DE LA EMPRESA (USUARIOS, EQUIPOS, SOPORTES, ETC) GENERACIÓN Y CUMPLIMENTACIÓN DE TODA LA DOCUMENTACION LOPD DE USUARIOS DE DATOS GENERACIÓN Y CUMPLIMENTACIÓN DE TODA LA DOCUMENTACIÓN LOPD DE TERCEROS CON ACCESO A DATOS LICENCIA ANUAL APLICACIÓN INFORMATICA ONLINE PARA EL DESARROLLO Y SEGUIMIENTO DE LA LOPD ALMACENAMIENTO DIGITAL DE DOCUMENTOS LOPD La competencia provee plantillas no cumplimentadas La competencia provee plantillas no cumplimentadas No precisa instalación en equipo, el acceso es online desde cualquier sitio Una vez firmada toda la documentación puede subirse a la aplicación online para facilitar su acceso y control SISTEMA ONLINE DE REGISTROS DE COPIAS DE SEGURIDAD Mediante la aplicación LOPD online SISTEMA ONLINE DE REGISTROS DE INCIDENCIAS Mediante la aplicación LOPD online SISTEMA ONLINE DE REGISTROS DE DERECHOS ARCO Mediante la aplicación LOPD online SISTEMA ONLINE DE REGISTROS DE ENTRADAS Y SALIDAS DE SOPORTES DE ALMACENAMIENTO DE DATOS MANTENIMIENTO ACTUALIZADO DEL DOCUMENTO DE SEGURIDAD LOPD CONTROL TRIMESTRAL DE CAMBIOS EN LA EMPRESA QUE PUDIERAN AFECTAR LA LOPD CONTROL PERIODICO DE TAREAS PENDIENTES DE REALIZAR ASESORAMIENTO CONTINUO EN MATERIA DE PROTECCION DE DATOS INFORME DE RECOMENDACIONES INFORMATICAS PARA CUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD IMPLEMENTACION DE CLAUSULAS LEGALES EN EQUIPOS INFORMATICOS Y SISTEMAS DE ENVIOS DE MAILS IMPLEMENTACION DE CLAUSULAS LEGALES EN FORMULARIOS Y PLANTILLAS UTILIZADAS POR LA EMPRESA ADECUACION DE LOS TEXTOS LEGALES DE LA WEB PARA CUMPLIMIENTO DE LA LSSI ADECUACION DE LOS TEXTOS LEGALES DE LA TIENDA ONLINE PARA CUMPLIMIENTO DE LA LSSICE ASISTENCIA TECNICA TÉCNICA U ONLINE EN MATERIA DE PROTECCIÓN DE DATOS PROGRAMACIÓN DE LAS COPIAS DE SEGURIDAD ENCRIPTADO DE LAS COPIAS DE SEGURIDAD Mediante la aplicación LOPD online El cliente comunica por teléfono o mail los cambios que va sufriendo en su empresa y CONSEDAT se encarga de mantener actualizada la LOPD El cliente recibe un resumen con las tareas pendientes de realizar Ponemos a su disposición un asesor especializado en informática, LOPD y LSSICE. En algunos casos es necesaria la colaboración del departamento de informática de la empresa En algunos casos es necesaria la colaboración del programador que diseñó la Web Sujeto a contratación extra No incluye el soporte de almacenamiento INSTALACION DE ANTIVIRUS Y FIREWALL Sujeto a contratación extra INSTALACION DE SISTEMA DE CONTROL DE ACCESOS Sujeto a contratación extra IMPLEMENTACION DE USUARIO Y CONTRASEÑA EN EQUIPOS INFORMATICOS IMPLEMENTACION DE PERMISOS DE ACCESOS EN LA RED INFORMATICA DE LA EMPRESA AUDITORIA LOPD ANUAL En algunos casos es necesaria la colaboración del departamento de informática de la empresa En algunos casos es necesaria la colaboración del departamento de informática de la empresa Sujeto a renovación anual del servicio 9

10 LA IMPORTANCIA DE LA FORMACIÓN LOPD El artículo 10 de la Ley 15/1999 de Protección de datos de carácter personal indica: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El artículo 89.2 del Real Decreto 1720/2007 por el que se regula la normativa LOPD nos dice: 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Por lo anteriormente expuesto podemos apreciar que la formación a los empleados que accedan a datos personales en cuanto a sus funciones y obligaciones adquiere gran importancia en la Normativa de Protección de Datos, en concreto, en su Reglamento de Desarrollo. Por un lado, el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Es decir, todas las personas que intervienen en el tratamiento de los datos de carácter personal (en la recogida, en el almacenamiento, en la utilización, etc.) están obligadas por ley al secreto profesional respecto de los mismos. También están obligadas a guardarlos y custodiarlos adecuadamente, de forma que no tenga acceso a dichos datos alguien no autorizado. Para dar a conocer esto a todos los trabajadores involucrados, además de formarlos y concienciarlos, es conveniente darles a firmar un compromiso de confidencialidad y deber de secreto, a través del cual se comprometen a no revelar ningún dato incluso después de finalizada la relación laboral, de forma que podamos acreditar que le hemos informado adecuadamente. 10

11 Adquiere especial IMPORTANCIA el hecho de que aunque un trabajador vulnere el deber de secreto y revele datos a terceras personas, la sancionada por la AEPD será la entidad responsable del fichero, no el trabajador en cuestión. Por eso es tan importante para la entidad el formar adecuadamente a los trabajadores que tratan los datos. Por otro lado, se hace necesario difundir una cultura de protección de datos que sensibilice a quienes los manejan y sean responsables. Del mismo modo la primera medida de seguridad que debe cumplir una empresa es la de adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. En concreto, todas las personas que tengan acceso a los datos del Fichero, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio de acceso automatizado o no automatizado, deben someterse al cumplimiento de lo establecido en el Documento de Seguridad que debe poseer cada empresa, sin importar su tamaño, siempre que trate datos personales de cualquier persona física. Como consecuencia de ello, y entre otras obligaciones, el personal de la empresa estará obligado, entre otros, a tener un conocimiento exacto de lo siguiente: * Conocer la privacidad de todos los datos que manejan y, por lo tanto, su obligación de mantener el secreto de dicha información. * Hacer uso de los datos únicamente para los fines para los cuales han sido recabados. * No divulgar las contraseñas de que dispongan para acceder tanto a los sistemas informáticos como a los ficheros que contengan datos de carácter personal. * Solicitar las autorizaciones necesarias para el tratamiento de dichos datos siempre que se refieran a salidas o entradas de soportes informáticos * No utilizar con fines privados los sistemas informáticos de la empresa, sin autorización del empresario. Por lo que en CONCLUSION, debemos tener presente que las causas de la imposición de sanciones en las empresas vienen provocadas por la falta de Formación LOPD, es decir, formación e información de los trabajadores en cuanto al uso y tratamiento de los datos personales que manejan, en el desarrollo de sus funciones. Por eso es tan importante para la entidad el formar e informar adecuadamente a los trabajadores que tratan los datos. 11

12 FORMACIÓN BONIFICADA Parte de los servicios globales asociados a la Implantación de la LOPD es Bonificable mediante compensación: es la parte de la Formación LOPD desde acciones formativas y de acuerdo a la normativa y reglamentación de la Fundación Tripartita mediante el uso de los importes bonificables por Seguros Sociales que las empresas con trabajadores tienen anualmente. Vectore gestiona la Formación Bonificable en su Empresa Realizamos la Formación a todo el personal de su empresa para que sepan cumplir con la Ley de Protección de Datos y actuar de forma correcta ante las diferentes exigencias de la normativa LOPD. Si dispone de personal contratado, estos cursos pueden estar 100% bonificados, y nosotros nos encargamos de todas las gestiones de bonificación con la Fundación Tripartita. Vectore pone a su disposición a todo un equipo de profesionales con una amplia experiencia en la implantación de proyectos de Desarrollo y Seguridad de Datos. Ponemos al alcance de las PYMES la metodología de las grandes auditoras. Y ofrecemos calidad y garantías sin desequilibrar sus previsiones presupuestarias. Hablamos de atención personalizada con máxima calidad y prestigio. De una línea de servicios pensada en función de TODAS las necesidades de seguridad de los Sistemas de la Información. (1) Para conocer más información relativa a la forma de Bonificación por Formación de acuerdo a los fondos gestionados por la Fundación Tripartita contacte con nosotros vía dirigiéndose a nuestra cuenta de correo electrónico vectore@vectore.es 12