La Agencia. Que datos son susceptibles de proteger. Los ficheros. Las denuncias. El consentimiento. Los derechos. Niveles de seguridad.

Transcripción

1

2 La Agencia. Que datos son susceptibles de proteger. Los ficheros. Las denuncias. El consentimiento. Los derechos. Niveles de seguridad. La confidencialidad. El correcto flujo de los datos. La empresa siempre es la responsable

3 Tenga en cuenta estos puntos y conseguirá que la LOPD no suponga una seria amenaza para su empresa. Si echamos la vista atrás tan solo unos pocos años, en España no existía ningún tipo de legislación con la que proteger los datos personales, facilitando así que este tipo de información circulara entre empresas, llegando a causar graves perjuicios a las personas. En la actualidad podemos afirmar que tenemos una de las leyes, a nivel mundial, mas exigente en cuanto a la protección de este tipo de datos y que hace recaer sobre las empresas una gran parte de la responsabilidad en cuanto a la guarda y custodia de la información. Las empresas están ahora sometidas a una gran cantidad de obligaciones y al mismo tiempo expuestas a que cualquier cliente o empleado (con una simple llamada telefónica) pueda formular denuncia contra ellas, viéndose sometidas a un régimen sancionador que puede ser aplicado a empresas que lo han incumplido sin ningún tipo de mala fe.

4 La Agencia. La Agencia Española de Protección de Datos es la encargada de velar por el cumplimiento de la Ley Orgánica de Datos de carácter Personal. Aquí se reciben todas las denuncias de las personas que se consideran afectadas y se inicia el proceso de investigación y sancionador, si el caso lo amerita. Las sanciones aplicadas por la AEPD se clasifican en tres grupos: Leves: 900 a ,00 Graves: ,00 a ,00 Muy Grave: ,00 a ,00 Las sanciones son la principal fuente de ingresos de la AEPD

5 Que datos son susceptibles de proteger. La LOPD se aplica a cualquier dato que pueda identificar a una persona. Teniendo en cuenta que para la prestación de un servicio o el desarrollo de cualquier actividad comercial, se recaba una gran cantidad de información y que esta se incorpora a algún tipo de fichero, podemos llegar a la conclusión de que el 99 % de empresas están sometidas a las exigencias de la normativa de protección de esos datos. Tiene los nombres y direcciones de sus clientes? Tiene archivadas las nominas de sus empleados? Dispone de fichas de pacientes o alumnos? Su empresa dispone de cámaras de VIDEOVIGILANCIA? Si la respuesta de alguna de estas cuestiones es afirmativa, su empresa debe estar adaptada a la LOPD.

6 Los ficheros Todos los ficheros que contengan datos personales deben estar inscritos en la AEPD. En la actualidad un altísimo porcentaje de empresas no tienen inscritos sus ficheros, esto en sí mismo ya representa una infracción sancionable con hasta Si su empresa es denunciada, lo primero que verificará la agencia es que sus ficheros estén inscritos. Cumpliendo con esta primera premisa la agencia estudiará su caso con buenos ojos

7 Las denuncias Ante cualquier indicio de que se pueda estar cometiendo una infracción, la agencia iniciara un procedimiento contra su empresa. La gran mayoría de actuaciones dan comienzo La gran mayoría de actuaciones dan comienzo por denuncias realizadas por clientes insatisfechos, por un servicio mal realizado y una cantidad considerable provienen de trabajadores o ex trabajadores de la misma empresa, que persiguen perjudicar o vengarse de alguna manera. La agencia a pasado a ser un instrumento, que puesto en manos de alguien resentido, puede ser capaz de causar mucho daño a su Empresa.

8 La agencia de protección de datos sanciona a IKEA por instalar cámaras La multinacional tomaba imágenes de espacios públicos, es decir, situados fuera de las instalaciones que tiene en un centro comercial REDACCIÓN A CORUÑA La Agencia Española de Protección de Datos impuso una multa de euros a IKEA por instalar cámaras en el local que la multinacional tiene en el centro comercial Marineda City sin advertir a los transeúntes que estaban siendo grabados. El Movimiento polos Dereitos Civís denunció a la multinacional del mueble y un año y cinco meses después, según informó la entidad sin ánimo de lucro, la agencia de protección de datos multó a IKEA. Las instalaciones, según la entidad, vulneran la normativa vigente sobre protección de datos, ya que la zona carecía de señales que indicase a los clientes del centro que estaban siendo grabados. El Movemento polos Dereitos Civís sostiene en un escrito enviado a los medios de comunicación que, tras la denuncia, la multinacional presentó fotos en las que se observaban las señales, que fueron "colocadas a posteriori". "Las modificaciones realizadas por IKEA no convencieron a la agencia de protección de datos, ya que consisten en pinceladas y reorientaciones de las cámaras que pueden ser perfectamente reubicadas y colocadas en la situación inicial y que dieron lugar a la sanción", destacan los miembros del Movemento polos Dereitos Civís, quienes destacan que el colectivo considera que no existen "garantías" de que IKEA no vuelva a incumplir la normativa y ponga "en peligro" los derechos recogidos en la normativa vigente sobre protección de datos. El organismo sancionador destaca que la empresa admitió la "inadecuada" colocación de las cámaras y que se comprometió a reorientarlas de forma que no graben la vía pública, ya que la compañía solo puede tomar imágenes dentro de sus instalaciones. "Sin embargo, no han acreditado que hayan retirado o reorientado una de las cámaras, que toma imágenes de la vía pública entendida como espacio libre de tránsito para las personas. En tal sentido, de la toma de imágenes de dicha cámara, se concluye que se trata de un espacio libre, por lo que no tiene sentido la captación de imágenes del centro de la plaza", señala la Agencia Española de Protección de Datos en su informe. publicado en laopinioncoruña.es Publicado por Asociación Profesional de Consultores en Protección de Datos

9 Una correduría, multada con euros por vender datos de una clienta Los acusados contrataron una póliza sin el conocimiento ni el consentimiento de la demandante, según los jueces El Tribunal Supremo ha impuesto una multa de euros a los responsables de una correduría de seguros gijonesa acusados de comunicar los datos de una de sus clientas a una compañía con el fin de «contratar una póliza». Los jueces admiten, no obstante, una pequeña rebaja en la cuantía solicitada para los demandados, para los que la Agencia Española de Protección de Datos pedían en un principio una sanción de euros. Los hechos que ahora acaban de ser aclarados en sede judicial se remontan al año Fue entonces cuando la compañía de seguros con la que la demandante tenía contratada una póliza decidió rescindir el contrato que la vinculaba con la correduría ahora demandada. Tras conocer la noticia, la clienta, una vecina de Gijón, decidió abandonar la empresa ahora demandada y continuar con la compañía de seguros, aunque en esta ocasión sin la intermediación de los responsables de la correduría. Los ahora condenados, por su parte y de forma paralela, contrataron una póliza con una segunda compañía, en palabras de los jueces, «sin el consentimiento de la asegurada». Para hacerlo, según la Agencia de Protección de Datos, los demandados le dieron a la nueva aseguradora todos los datos personales de la demandante. visto en ine.es Publicado por Asociación Profesional de Consultores en Protección de Datos

10 El consentimiento La clave está en el consentimiento, es decir cada una de las personas de las que se recojan datos de carácter personal debe ser informada y debe autorizar el uso de los mismos para la finalidad concreta para la que le han sido pedidos. A partir de ese momento hay excepciones como por ejemplo necesidades de consentimiento reforzado, para cuando se tratan datos especialmente delicados como: salud, religión, ideología, etc. De esta forma y teniendo en cuenta estas premisas se pueden tomar iniciativas de marketing o campañas publicitarias o informativas, sin correr el riesgo de llegar a personas que no estén dispuestas a formar parte de las bases de datos que facilitan estas actividades.

11 CLAUSULAS PARA FACTURAS CONTRATOS O PRESUPUESTOS. En virtud de lo dispuesto en la Ley Orgánica 15/99, de Protección de Datos de Carácter Personal, se informa al cliente que los datos personales facilitados serán incorporados al fichero CLIENTES- PROVEEDORES cuya titularidad ostenta La finalidad de dicho fichero es el control y la gestión del servicio dado, de los productos ofrecidos y una mayor garantía a nuestros clientes para un mejor desarrollo de la actividad. Los derechos de acceso, cancelación, rectificación y oposición podrán ejercitarse mediante escrito con prueba fehaciente de la identidad del peticionario, dirigido a CLAUSULA PARA S ADVERTENCIA LEGAL: De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, le comunicamos que los datos de carácter personal utilizados en este envío están incluidos en el fichero "CLIENTES-PROVEEDORES cuya titularidad ostenta puede ejercer sus derechos de acceso, rectificación, cancelación y oposición mediante comunicación escrita a , en la dirección indicada o en el correo electrónico remitente. CLAÚSULA INFORMATIVA VIDEOVIGILANCIA Art. 3, apartado B. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. FICHERO PRIVADO De conformidad con lo dispuesto en el art. 5.1 LO 15/1999, de 13 de diciembre, de Protección de Datos, se informa: Que los datos que obtenemos a través de la Video-vigilancia no serán cedidos bajo ningún concepto. Dichos datos serán tratados dentro de la normativa vigente en materia de protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal. (LOPD) Estos datos serán incluidos en un fichero informático denominado Video-vigilancia, siendo su función la de recabar estos datos para protección de nuestros bienes y clientes. El responsable de dicho fichero es XXXXXXXXXXXXXXXXXX S.L, con C.I.F. nº B-XXXXXXXXXX, y domicilio a efectos de notificaciones en XXXXXXXXXXXXX (08830) XXXXXXXXX de XXXXXXXXX. Vd. tiene derecho a recibir respuesta de cualquier pregunta, consulta o aclaración que le surja derivada de esta acción. Vd. tiene derecho al acceso, oposición, rectificación, cancelación, de sus datos de carácter personal, mediante escrito, a la dirección arriba indicada acompañando siempre copia de su D.N.I. Todos sus datos serán dados de baja definitivamente de nuestra base de datos por los siguientes motivos: 1º Cada 30 días como máximo; 2º Cuando hayan dejado de ser necesarios para los fines que motivaron su recogida.

12 Los derechos. A.R.C.O Cuando poseemos los datos personales y el consentimiento de su propietario es cuando verdaderamente! Empiezan las obligaciones!. Suponiendo que el titular de esa información esta bien informado del uso que se dará a sus datos, este podrá ejercer sus derechos en cualquier momento y a partir de ese instante solo se contará con unos pocos días para actuar dentro del plazo, contestando por escrito de forma razonada, de las medidas tomadas, en cuanto al Acceso, Rectificación, Cancelación y Oposición de los mencionados datos en nuestros ficheros.

13 Niveles de seguridad. Los diferentes datos personales son merecedores de diferentes niveles de seguridad. La agencia clasifica en tres niveles : Básico (nombre, apellidos, dirección, teléfono), Medio (c.c.c, datos de transacciones), Alto (ideología, salud, religión). Saber que tipos de datos se utilizan en la empresa con respecto a cada uno de los grupos relacionados con los ficheros (clientes, proveedores, trabajadores ) es fundamental para aplicar las medidas de seguridad oportunas a cada uno de ellos. Las medidas no suelen ser sencillas a pesar de que el nivel de seguridad sea el Básico. Contraseñas que deben cambiarse regularmente, controles de acceso a los locales, copias de seguridad, registros de incidencias actualizados, comunicaciones encriptadas, destrucción de documentos y un largo etcétera de medidas que deben estar recogidos en El Documento de Seguridad que es obligatorio y le puede ser requerido en cualquier momento. Por cierto, este documento debe estar actualizado y debe contener los contratos de confidencialidad de las empresas que prestan servicios dentro de sus instalaciones.

14 La confidencialidad Su empresa debe garantizar la seguridad con respecto a los datos personales que maneja, por lo que se deben implantar sistemas eficaces, que impliquen a todas las personas que puedan tener acceso a ellos. La información no debe filtrarse ni por error ni por equivocación.

15 El correcto flujo de los datos. Si por alguna razón existe una cesión de datos a otra empresa, se necesita el consentimiento expreso de cada persona dueña de ellos. Pero qué pasaría si alguien externo a su empresa tiene que tener acceso a los datos personales, no porque tenga interés en ellos, sino simplemente como parte de la prestación de un servicio ( la gestoría, los informáticos, la empresa de limpieza, etc..)? La ley contempla estos casos y entiende que un tercero accede a los datos como parte imprescindible de la prestación de un servicio, entonces no se exige en consentimiento expreso del afectado, pero es IMPRESCINDIBLE que la empresa suscriba un contrato con cada una de las empresas, donde se regule la relación entre el responsable del fichero y el encargado del tratamiento de ese fichero (la empresa contratada), así como las responsabilidades de cada una de las partes. Atención: Si la empresa NO firma ese contrato, estaría incurriendo en una cesión indebida de datos (infracción leve sancionable entre 900 y !!) y, además, si se produce una infracción por parte de la otra empresa, su empresa también será responsable de dicha infracción.

16 Contrato de acceso a datos por cuenta de terceros (1) De una parte (2),.., entidad de nacionalidad Española con domicilio en.. y provista de Número de Identificación Fiscal.., representada en este acto por D/Dña.., mayor de edad, con DNI. (en adelante, Responsable del Fichero ). Y de otra parte (3),.., entidad de nacionalidad Española con domicilio.. y, provista de Número de Identificación Fiscal.., representada en este acto por D/Dña.., mayor de edad, con DNI. (en adelante, Encargado de Tratamiento ). EXPONEN I. Que el Responsable del Fichero es una entidad cuya actividad es la prestación de servicios de.(4), trabajando fundamentalmente en las siguientes áreas de negocio: II. Que el Encargado de Tratamiento es una entidad cuya actividad se centra en. (5), habiendo sido contratado por el Responsable del Fichero para la prestación de servicios de. (6). III. Que para el desarrollo de los servicios para los que ha sido contratado, el Encargado de Tratamiento requerirá el acceso a datos de carácter personal contenidos en ficheros del Responsable del Fichero. IV. Que siendo así, ambas partes han acordado formalizar el presente Contrato para regular, en lo relativo al tratamiento de los datos de carácter personal, la mencionada prestación de servicios, por parte del Encargado de Tratamiento. Primera.- Objeto del contrato. ESTIPULACIONES El objeto del presente Contrato es la regulación de la relación entre el Responsable del Fichero y el Encargado del Tratamiento, a los efectos de dar cumplimiento a lo establecido en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

17 Segunda.- Tratamiento de datos de carácter personal. El Responsable del Fichero manifiesta que es titular de ficheros que contienen datos de carácter personal recabados legalmente, debidamente inscritos en el Registro General de Protección de Datos (en adelante, Ficheros ) y que, en virtud de los servicios contratados al Encargado de Tratamiento, autoriza y delega su tratamiento, en la medida que sea necesario para la prestación de los mismos. Tercera.- Finalidad del tratamiento. El Encargado de Tratamiento, únicamente tratará los datos contenidos en los Ficheros para realizar por cuenta del Responsable del Fichero la prestación de los servicios contratados y, en ningún caso, los utilizará para finalidades distintas a las acordadas. Cuarta.- Medidas de Seguridad. El Encargado del Tratamiento deberá aplicar a los datos contenidos en los Ficheros, las medidas de seguridad establecidas reglamentariamente en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Quinta.- Comunicación de datos a terceros. Como norma general, el Encargado de Tratamiento no comunicará los datos de carácter personal accedidos en el marco del presente contrato a un tercero, ni siquiera para su conservación, salvo que en el contrato de prestación de servicios se detalle lo contrario. En los casos en los que para la prestación de los servicios contratados, el Encargado de Tratamiento facilite datos personales, que previamente haya puesto a su disposición el Responsable del Fichero, a entidades cuya intervención sea necesaria para dar cumplimiento a esta relación contractual, dichas entidades se verán sometidas a las mismas reglas de protección de datos y confidencialidad que el Encargado de Tratamiento. No obstante, con anterioridad a la facilitación de los datos por parte del Encargado del Tratamiento a estas entidades, éste deberá contar con la autorización expresa del Responsable del Fichero y regular esta relación de acuerdo con las exigencias del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Sexta.- Ejercicio de derechos. En los casos en los que los titulares de los datos ejerciten sus derechos de acceso, rectificación, cancelación u oposición ante el Encargado de Tratamiento este deberá dar traslado de la mencionada solicitud, en el plazo máximo de 3 días, al Responsable del Fichero a fin de que por el mismo se resuelva, en los plazos establecidos por la normativa vigente.

18 Séptima.- Deber de información mutuo. Ambas partes, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se informan mutuamente de que los datos de la/ s persona/ s de contacto que figura en el encabezamiento del presente contrato serán incorporados a los ficheros titularidad de cada una de las partes con la finalidad de gestionar dicha relación. Octava.- Deber de conservación. El Encargado de Tratamiento conservará los datos de carácter personal a los que haya tenido acceso en razón del servicio prestado, así como cualquier soporte o documento en el que consten, durante el tiempo en que esté vigente dicho servicio o porque así venga dispuesto por Ley. Finalizado éste, procederá a devolver o, en su caso, destruir dichos datos o soportes. Novena.- Responsabilidad. El Encargado de Tratamiento se compromete a cumplir con las obligaciones establecidas en el presente Contrato y en la normativa vigente, en relación con el presente encargo de tratamiento. De conformidad con lo establecido en el artículo 12.4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y 20.3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la misma, el Encargado de Tratamiento será considerado responsable del tratamiento en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del presente Contrato, respondiendo de las infracciones en que hubiera incurrido personalmente. Décima.- Designación de fuero. Para todos los efectos derivados del presente Contrato, las partes se someten expresamente a los Juzgados y Tribunales de.., con renuncia a su propio fuero. Y en prueba de conformidad, después de leer detenidamente el documento, las partes lo ratifican y firman por duplicado y a un solo efecto, en el lugar y fecha indicados. En (ciudad), a (día) de (mes) de (año). D/Dña.. Por (Responsable de Fichero) D/Dña.. Por (Encargado de tratamiento

19 Contrato de confidencialidad con trabajadores externos. (1), con DNI, como trabajador de la Empresa (2), asume y así se compromete que no podrá comunicar a persona alguna la información de que haya tenido conocimiento con motivo de la ejecución de sus obligaciones emanadas del contrato que la Empresa (3), une con la empresa (4). Esta obligación de reserva o confidencialidad seguirá en vigor aún después del vencimiento del plazo del contrato o de su resolución, haciéndose responsable de los daños y perjuicios que pudiera causar la violación a esta cláusula y sin perjuicio de las responsabilidades penales que correspondieren. El deber de sigilo comprometido, concierne también a la totalidad de los aspectos de las tareas desempeñadas en cumplimiento de su labor, tanto técnicos como operativos y de cualquier otro orden que importen la difusión a terceros de las cuestiones de cualquier índole o naturaleza vinculadas con aquellas y/o con los clientes de la Empresa. En a de de 20. Fdo. Fdo. y sello Fdo. y sello El Trabajador. Empresa Contratante Emp. resp de Ficheros. (1) Nombre del trabajador. (2)y(3) Empresa a la que pertenece el trabajador. (4) Empresa responsable de los ficheros.

20 La empresa siempre es la responsable El objetivo de la LOPD es dar control a todas las personas ( ojo!, sólo físicas) sobre sus datos personales. Esto se traduce en múltiples derechos para las personas y en consecuencia en múltiples obligaciones para la empresa. Cuenta con.. te ayudamos a resolver el puzzle!!!! info@forlopd.es Telf: Isidro Caballero