LEY ORGÁNICA 15/1999 TÉCNOLOGÍA DE LA INFORMACIÓN Y LA COMUNICACIÓN PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Transcripción

1 LEY ORGÁNICA 15/1999 TÉCNOLOGÍA DE LA INFORMACIÓN Y LA COMUNICACIÓN PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 1

2 INDICE 2 Introducción Objeto, Ámbito de Aplicación y Obligaciones Fases de los Datos Personales - Fase I. Recolección de los Datos - Fase II. Tratamiento de los Datos - Fase III. Utilización y Comunicación de los Datos Derechos ARCO Infracciones y Plazos de implantación Introducción a la ISO 27001:2005 Adecuación de la LOPD a la empresa. Caso Práctico Nuestras áreas Contacto

3 INTRODUCCIÓN LEGISLACIÓN APLICABLE Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Real decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos. Real Decreto 156/1996, de 2 de febrero, por el que se modifica el Estatuto de la Agencia de Protección de Datos. Real Decreto 1665/2008, de 17 de octubre, por el que se modifica el estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 428/1993, de 26 de marzo. 3

4 INTRODUCCIÓN AGENCIA ESPAÑOLA DE PROTECCION DE DATOS. Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada. Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones. General: Velar por el cumplimiento de la legislación sobre PDP y controlar su aplicación, en especial en lo relativo a derechos de información y derechos ARCO. Afectados: Atender a sus peticiones y reclamaciones. Información de los derechos reconocidos legalmente. Promover campañas de difusión a través de los medios. 4

5 INTRODUCCIÓN AGENCIA ESPAÑOLA DE PROTECCION DE DATOS. Responsables de tratamiento: Emitir autorizaciones previstas en la Ley. Requerir medidas de corrección. Ordenar, caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos. Ejercer la potestad sancionadora. Recabar ayuda e información que precise. Autorizar las transferencias internacionales de datos. Además de: Tutelar los derechos y garantías de los abonados y usuarios en materia de telecomunicaciones. Elaboración de normas, Instrucciones y recomendaciones. Representar a España en foros internacionales. Elaboración de una Memoria Anual. 5

6 INTRODUCCIÓN TERMINOLOGÍA. (ART. 3 LOPD.) Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, sobre personas físicas identificadas o identificables. Fichero: cualquier conjunto organizado de datos personales, cualquiera que sea su forma, almacenamiento, organización y acceso. Automatizados Formato Papel Publico Privados Tratamiento de datos: operaciones automatizadas o no, que permitan la recogida, grabación, conservación, modificación, cancelación, cesiones, consultas y transferencias. 6

7 INTRODUCCIÓN TERMINOLOGÍA. (ART. 3 LOPD.) Responsable del fichero: persona física o jurídica, pública o privada, u órgano administrativo que decida sobre el contenido y uso del tratamiento del fichero Interesado: persona física titular de los datos objeto del tratamiento Disociación: tratamiento que permite que la información a la que se refiere no pueda asociarse a persona identificada o identificable Cancelación: procedimiento por el que el responsable cesa en el uso de los datos Encargado del tratamiento: persona física o jurídica, autoridad, servicio u órgano administrativo que trate datos personales por cuenta del responsable del tratamiento Consentimiento del interesado: cualquier manifestación de voluntad libre, inequívoca, específica e informada por la que consiente el tratamiento de sus datos personales Cesión o comunicación de datos: revelación de datos realizada a persona distinta del interesado 7 7

8 INTRODUCCIÓN QUE SUPONE LA LEY? Un RESPALDO para los ciudadanos contra la posible utilización indebida de sus datos personales. Supone una de que los datos personales serán tratados con el RESPETO necesario. Otorga un CONTROL al titular sobre sus propios datos. Nacimiento de una Obligación: Quien trata datos de carácter personal ha de cumplir con una serie de Obligaciones. Protección frente a la indefensión: Confiere una serie de derechos y garantías a los ciudadanos 8

9 OBJETO, ÁMBITO DE APLICACIÓN Y OBLIGATORIEDAD OBJETO Finalidad última es garantizar las libertades públicas y los derechos fundamentales de las personas y, especialmente, el honor y la intimidad personal y familiar (ART. 1 LOPD). Proteger los datos relativos a personas físicas que las compañías utilicen en su quehacer empresarial o profesional. 9

10 OBJETO, ÁMBITO DE APLICACIÓN Y OBLIGATORIEDAD ÁMBITO DE APLICACIÓN 1) Dato personal. 2) Que formen parte o estén en disposición de formar parte de un fichero que contengan datos personales 3) Que sean objeto de tratamiento, aunque este tratamiento no sea automatizado. 4) Cuando el tratamiento de los datos se hace en el territorio español. 5) Cuando el responsable de tratamiento no está establecido en el territorio español, pero le aplica la legislación española conforme al Derecho Internacional 6) Responsable del tratamiento no establecido en la Unión europea, pero en el tratamiento utiliza medios situados en territorio español, excepto aquellos que sean sólo con fines de tránsito. 1 0

11 OBJETO, ÁMBITO DE APLICACIÓN Y OBLIGATORIEDAD ÁMBITO DE APLICACIÓN- EXCEPCIONES 1) Datos referidos a personas jurídicas. 2) Ficheros que se limiten a incorporar datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. 3) Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros. 4) Datos de personas fallecidas 5) Ficheros de investigación del terrorismo 6) Ficheros de personas físicas de uso doméstico o personal 7) Ficheros con NORMATIVA ESPECIFICA: -Ficheros de carácter electoral -Ficheros estadísticos -Ficheros del Registro Civil y Registro Central de Penados -Ficheros de calificación del personal de las Fuerzas Armadas, y los obtenidos por las videocámaras de las Fuerzas Armadas y Cuerpos de Seguridad 1 1

12 OBJETO, ÁMBITO DE APLICACIÓN Y OBLIGATORIEDAD OBLIGATORIEDAD I. Declarar el fichero o ficheros que contengan datos personales a la APDP. II. III. Adecuar los procedimientos de obtención y transmisión de datos. - Avisos legales (Formularios, cartas, contratos, fichas, etc) - Especial importancia página Web. - Consentimiento tácito y expreso Regular las relaciones jurídicas con terceros. IV. - Contratos de outsourcing (comunidades de propietarios, empresa de hardware y software, profesionales que gestionen nóminas, contabilidad, auditoría, etc.). Redactar el documento de seguridad. -Ámbito de aplicación y recursos protegidos. -Medidas a adoptar para garantizar el nivel de seguridad. -Funciones y obligaciones del personal. -Estructura ficheros y descripción sistemas de información. -Procedimiento de notificación, gestión y respuesta ante las incidencias. -Procedimiento de realización de copias de seguridad y recuperación de datos. V. Implantar las medidas de seguridad de acuerdo con el nivel de protección que exige la LOPD. 1 2

13 FASES DE LOS DATOS PERSONALES FASE I: RECOLECCIÓN DE DATOS Los datos personales sólo pueden recogerse y ser sometidos a tratamiento por las empresas: 1. Si el interesado ha dado su consentimiento. 2. Si el tratamiento es necesario para el mantenimiento y/o cumplimiento de un contrato o precontrato de una relación negocial, laboral y/o administrativa. 3. Cuando una ley habilita el tratamiento sin requerir el consentimiento inequívoco de su titular. 4. Cuando los datos figuren en fuentes accesibles al público Por ello deben cumplirse 4 principios fundamentales: 1 3 Principio de Calidad de los datos. Principio de Derecho de Información. Principio de Consentimiento. Principio de Inscripción de Ficheros.

14 FASES DE LOS DATOS PERSONALES FASE I: RECOLECCIÓN DE DATOS PRINCIPIO DE CALIDAD DE LOS DATOS Los datos personales deben adecuarse a la finalidad para la que fueron recabados, ser exactos, no mantenerse indefinidamente sin justificación y ser recogidos de forma lícita. CALIDAD DATOS ADECUADOS, PERTINENTES Y NO EXCESIVOS EN RELACIÓN AL FIN USO DEL DATO PARA FINALIDAD COMPATIBLE PARA LA QUE FUE RECOGIDO DATOS EXACTOS Y PUESTOS AL DIA ALMACENAMIENTO PERMITE EJERCICIO DERECHO DE ACCESO INFRACCIÓN GRAVE INFRACCIÓN GRAVE INFRACCIÓN GRAVE INFRACCIÓN GRAVE 1 4

15 FASES DE LOS DATOS PERSONALES FASE I: RECOLECCIÓN DE DATOS PRINCIPIO DE DERECHO DE INFORMACIÓN Cuando los datos sean recabados del propio interesado, se deberá informar al interesado de forma expresa, precisa e inequívoca de: DEBER DE INFORMACIÓN EXISTENCIA DEL FICHERO, FINALIDAD Y DESTINATARIO CARÁCTER OBLIGATORIO O FACULTATIVO RESPUESTAS CONSECUENCIA OBTENCIÓN DATOS / NEGATIVA A SUMINISTRARLOS POSIBILIDAD EJERCICIO DE DERECHOS IDENTIDAD Y DIRECCIÓN DEL RESPONSABLE TRATAMIENTO INFRACCIÓN LEVE INFRACCIÓN GRAVE INFRACCIÓN LEVE INFRACCIÓN LEVE INFRACCIÓN LEVE 1 5

16 FASES DE LOS DATOS PERSONALES FASE I: RECOLECCIÓN DE DATOS PRINCIPIO DE CONSENTIMIENTO DEL AFECTADO Como regla general, a la hora de recabar los datos es necesario obtener el consentimiento informado y consciente (consentimiento inequívoco) del interesado, salvo en los casos expresamente tasados por la ley. CONSENTIMIENTO EXCEPCIONES TÁCITO EXPRESO EXPRESO Y POR ESCRITO Fuentes accesibles al público DATOS IDENTIFICATIVOS DATOS SALUD VIDA SEXUAL DATOS IDEOLOGÍA AFILIACIÓN SINDICAL Relación negocial, laboral, admin. INFRACCIÓN GRAVE Art.44.3.C 1 6 INFRACCIÓN GRAVE Art.44.3.C INFRACCIÓN MUY GRAVE Art.44.4.C Protección interés vital afectado Funciones Admins. Públicas

17 FASES DE LOS DATOS PERSONALES FASE I: RECOLECCIÓN DE DATOS PRINCIPIO DE CONSENTIMIENTO DEL AFECTADO Consentimientos en menores de Edad CONSENTIMIENTO TRATAMIENTO DATOS Revocación del consentimiento MENORES 14 AÑOS MAYORES 14 AÑOS CONSENTIMIENTO PATERNO/TUTOR CONSENTIMIENTO MENOR SALVO SUPUESTOS EXIGIDOS LEY CONSENTIMIENTO PATERNO CESE EN EL PLAZO MÁXIMO 10 DÍAS, POSIBILIDAD BLOQUEO ART.16.4 LOPD SOLICITADA POR EL AFECTADO RECIBIDA POR RESPON. FICHERO RESPUESTA EXPRESA INTERESADO 1 7 COMUNICACIÓN REVOCACIÓN A CESIONARIOS EN PLAZO MAXIMO 10 DIAS

18 FASES DE LOS DATOS PERSONALES FASE I: RECOLECCIÓN DE DATOS PRINCIPIO DE INSCRIPCIÓN DE FICHEROS El Responsable del Fichero tiene la obligación de inscribir los ficheros en el Registro general de Ficheros de Datos Personales de titularidad privada o pública. Realizar la creación del fichero incluyendo los contenidos: CONTACTAR : AGPD IDENTIFICACIÓN DEL FICHERO ORIGEN DE LOS DATOS COMUNICACIÓN DE DATOS PREVISTA, TRANSFERENCIAS INTERNACILALES ÓRGANOS RESPONSABLES DEL FICHERO NIVEL DE SEGURIDAD 1 8

19 FASES DE LOS DATOS PERSONALES FASE II: TRATAMIENTO DE LOS DATOS- ALMACENAMIENTO El Responsable del Fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal (Encargados de Tratamiento y Responsables de Seguridad) están obligados al secreto profesional respecto de los mismos, obligación que subsiste incluso terminada la relación con el titular del fichero o el Responsable del mismo. Soportes de recogida: a) Soporte papel. b) Soporte informático/magnético. c) Vía telemática. Procedimiento de recogida: a) Encuestas o entrevistas. b) Formularios o cupones. c) Transmisión electrónica de datos/internet. Medio de almacenamiento: a) Automatizado b) Formato papel

20 FASES DE LOS DATOS PERSONALES FASE II: TRATAMIENTO DE LOS DATOS- NIVELES DE SEGURIDAD Aplicación de los Niveles de Seguridad RD 1720/2007: BÁSICO APLICACIÓN DE ESTE NIVEL A TODO FICHERO DE DATOS FICHEROS RELATIVOS A INFRACCIONES ADMINISTRATIVAS O PENALES FICHEROS RELATIVOS A SOLVENCIA PATRIMONIAL Y CRÉDITO FICHEROS DE LAS ADMINISTRACIONES TRIBUTARIAS MEDIO FICHEROS DE ENTIDADES FINANCIERAS FICHEROS DE MUTUAS LABORALES, ENTIDADES GESTORAS SEG. SOCIAL, E.LABORALES, A.TRABAJO FICHEROS QUE CONTENGAN DATOS QUE OFREZCAN UNA DEFINICIÓN DE LAS CARACTERÍSTICAS Y PERSONALIDAD DEL AFECTADO. FICHEROS DE DATOS DE IDEOLOGÍA, AFILIACIÓN SINDICAL, CREENCIAS, RELIGIÓN, SALUD O V. SEXUAL ALTO DATOS POLICIALES RECABADOS SIN CONSENTIMIENTO DEL AFECTADO DATOS DE VIOLENCIA DE GÉNERO 2 0

21 FASES DE LOS DATOS PERSONALES FASE II: TRATAMIENTO DE LOS DATOS- NIVELES DE SEGURIDAD FICHEROS AUTOMATIZADOS Además, para los ficheros y tratamientos automatizados existen tres tipos diferentes de medidas de seguridad en virtud del tipo de dato que se trate: DOCUMENTO DE SEGURIDAD X X X FUNCIONES Y OBLIGACIONES DEL PERSONAL X X X REGISTRO DE INCIDENCIAS X X X IDENTIFICACIÓN Y AUTENTICACIÓN X X X CONTROL DE ACCESO LÓGICO X X X GESTIÓN DE SOPORTES X X X COPIAS DE RESPALDO Y RECUPERACIÓN X X X RESPONSABLE DE SEGURIDAD X X CONTROL DE ACCESO FÍSICO X X AUDITORÍA (Bienal) X X PRUEBAS CON DATOS REALES (Cumplimiento RMS) X X CONTROL DISTRIBUCIÓN DE SOPORTES X REGISTRO DE ACCESOS (A registros o campos) X TELECOMUNICACIONES (Cifrado o encriptación) X 2 1 NIVELES BAJO MEDIO ALTO

22 FASES DE LOS DATOS PERSONALES FASE III: UTILIZACIÓN Y COMUNICACIÓN DE DATOS - CESIÓN DE DATOS La cesión de datos es toda revelación de datos realizada a persona distinta del afectado; así, el término revelación incluye consulta de datos, publicación de datos, interconexión de ficheros y comunicación del fichero a terceros. CESIÓN DE DATOS FINES DIRECTAMENTE RELACIONADOS + CONSENTIMIENTO FINES DIRECTAMENTE RELACIONADOS + EXCEPCIÓN CONSENTIMIENTO PREVIO CONSENTIMIENTO INFORMADO DE FINALIDAD, CESIÓN Y ACTIVIDAD DEL CESIONARIO INFRACCIÓN MUY GRAVE INFRACCIÓN MUY GRAVE INFRACCIÓN MUY GRAVE 2 2

23 FASES DE LOS DATOS PERSONALES FASE III: UTILIZACIÓN Y COMUNICACIÓN DE DATOS - CESIÓN DE DATOS CESIÓN DATOS CONSENTIMIENTO DEL AFECTADO RELACIÓN JURÍDICA COMPORTE COMUNICACIÓN COMUNICACIÓN A DEFENSOR PUEBLO, TRIB. CUENTAS, JUECES Y TRIBUNALES EXCEPCIONES CESIÓN ADMINISTRACIONES PÚBLICAS RELACIÓN JURÍDICA ENTRE PARTES FINES ESTADÍSTICOS, CIENTIFICOS, HISTÓRICOS RECABADOS PARA OTRA ADMINISTRACIÓN PÚBLICA COMPETENCIAS IDÉNTICAS O MISMAS MATERIAS PROTECCIÓN DEL INTERES VITAL 2 3

24 FASES DE LOS DATOS PERSONALES FASE III: UTILIZACIÓN Y COMUNICACIÓN DE DATOS ACCESO POR CUENTA A TERCEROS ACCESO A DATOS POR CUENTA DE TERCEROS ACCESO NECESARIO PARA LA PRESTACIÓN DE UN SERVICIO AL RESPONSABLE DEL FICHERO INDICACIÓN DE AUTORIZACIÓN PARA LA SUBCONTRATACIÓN A TERCEROS EL ENCARGADO DEL TRATAMIENTO SOLO TRATARÁ LOS DATOS CONFORME INSTRUCCIONES Y NO LOS APLICARÁ PARA FIN DISTINTO AL CONTRACTUAL EL ENCARGADO DEL TRATAMIENTO DEBERÁ ADOPTAR MEDIDAS DE SEGURIDAD A LOS DATOS 2 4 UNA VEZ FINALIZADO EL TRATAMIENTO DEVOLVERÁ O DESTRUIRÁ LOS DATOS

25 FASES DE LOS DATOS PERSONALES FASE III: UTILIZACIÓN Y COMUNICACIÓN DE DATOS ACCESO POR CUENTA A TERCEROS AUTORIZACIÓN EXPRESA DEL RESPONSABLE AL ENCARGADO PARA LA SUBCONTRATACIÓN DE SERVICIOS PREVISIÓN CONTRACTUAL DE SUBCONTRATACIÓN SERVICIOS Y EMPRESAS NO ES NECESARIA LA AUTORIZACIÓN TRATAMIENTO DE ACUERDO INSTRUCCIONES RESPONSABLE FICHERO FORMALIZACIÓN CONTRATO ACCESO A DATOS ENTRE ENCARGADO Y SUBCONTRATISTA LA SUBCONTRATACIÓN SOBREVENIDA DEBERÁ SER AUTORIZADA POR RESPONSABLE DEL FICHERO 2 5

26 DERECHOS ARCO DERECHOS ACCESO RECTIFICADO DE DATOS CANCELACIÓN DE DATOS OPOSICIÓN AL TRATAMIENTO DE LOS DATOS 2 6

27 DERECHOS ARCO ACCESO: EJERCICIO DEL DERECHO AL ACCESO VISUALIZACIÓN EN PANTALLA SOLICITUD ACCESO PODRÁ RECIBIR LA INFORMACIÓN A TRAVÉS DE ESCRITO, COPIA O FOTOCOPIA TELECOPIA CORREO ELECTRÓNICO OTRO SISTEMA DE CONFIGURACIÓN EL SISTEMA UTILIZADO PARA HACER EFECTIVO EL DERECHO DEBERÁ SER GRATUITO Y POR MEDIO DE COMUNICACIÓN ESCRITA SI EL RESPONSABLE OFRECE UN SISTEMA PARA HACER EFECTIVO EL DERECHO Y EL AFECTADO LO RECHAZASE, NO SERÁ RESPONSABLE DE LOS RIESGOS DE SEGURIDAD PARA LA INFORMACIÓN Y, SI EL PROCEDIMIENTO SOLICITADO POR EL AFECTADO IMPLICA COSTE ADICIONAL AL OFRECIDO, EL COSTE ADICIONAL DEBERÁ ABONARLO EL AFECTADO 2 7

28 DERECHOS ARCO ACCESO: OTORGAMIENTO DEL DERECHO AL ACCESO EL RESPONSABLE RESOLVERÁ LA SOLICITUD EN EL PLAZO MÁXIMO DE 30 DÍAS DESDE LA RECEPCIÓN DE LA SOLICITUD SOLICITUD DE ACCESO ESTIMADA LA SOLICITUD, EL ACCESO DEBERÁ HACERSE EFECTIVO EN EL PLAZO DE LOS 10 DÍAS SIGUIENTES SERÁ LEGIBLE E INTELEGIBLE DATOS BASE AFECTADO LA INFORMACIÓN FACILITADA ORIGEN DE LOS DATOS USOS Y FINALIDADES CESIONES Y COMUNICACIONES 2 8

29 DERECHOS ARCO ACCESO: DENEGACIÓN DEL DERECHO AL ACCESO PODRÁ DENEGARSE EL DERECHO DE ACCESO SI EL MISMO SE EJERCITASE EN INTERVALOS INFERIORES A 12 MESES, SALVO QUE SE ACREDITE UN INTERÉS LEGÍTIMO DENEGACIÓN DE ACCESO PODRÁ DENEGARSE CUANDO ASÍ SE ESTABLEZCA POR LEY O EL RESPONSABLE SE ENCUENTRE SUJETO A NORMAS OBLIGATORIAS QUE IMPIDAN EL EJERCICIO DEL DERECHO DE ACCESO EN TODO CASO, EL RESPONSABLE INFORMARÁ AL AFECTADO DE SU DERECHO A RECABAR LA TUTELA DE LA AGPD 2 9

30 DERECHOS ARCO RECTIFICACIÓN Y CANCELACIÓN: EJERCICIO DEL DERECHO DE RECTIFICACIÓN Y CANCELACIÓN INDICACIÓN DE DATOS A QUE SE REFIERE EJERCICIO DERECHO SOLICITUD DEL AFECTADO DATOS CORREGIDOS DOCUMENTACIÓN ACREDITATIVA RESOLVERÁ EN EL PLAZO MÁXIMO DE 10 DÍAS RECIBIDA SOLICITUD SI LOS DATOS HUBIEREN SIDO CEDIDOS, INFORMAR AL CESIONARIO EN EL PLAZO DE 10 DÍAS PARA QUE RECTIFIQUE O CANCELE 3 0

31 DERECHOS ARCO RECTIFICACIÓN Y CANCELACIÓN: DENEGACIÓN DEL DERECHO DE RECTIFICACIÓN Y CANCELACIÓN NO PODRÁ CANCELARSE DATOS QUE DEBAN CONSERVARSE POR OBLIGACIÓN LEGAL APLICABLE A LOS MISMOS O A LA RELACIÓN JURÍDICA/NEGOCIO ENTRE PARTES DENEGACIÓN PODRÁ DENEGARSE CUANDO ASÍ LO ESTABLEZCA UNA LEY QUE IMPIDA AL RESPONSABLE REVELAR DATOS AL AFECTADO EN TODO CASO, EL RESPONSABLE INFORMARÁ AL AFECTADO DE SU DERECHO A RECABAR LA TUTELA DE LA AGPD 3 1

32 DERECHOS ARCO OPOSICIÓN: EJERCICIO DEL DERECHO A LA OPOSICIÓN EJERCICIO DERECHO SOLICITUD DEL AFECTADO MOTIVOS FUNDADOS Y LEGITIMOS QUE JUSTIFICAN EL EJERCICIO RESOLVERÁ EN EL PLAZO MÁXIMO DE 10 DÍAS RECIBIDA SOLICITUD DEBERÁ EXCLUIR DEL TRATAMIENTO LOS DATOS O DENEGAR MOTIVADAMENTE LA SOLICITUD EN EL PLAZO DE 10 DÍAS 3 2

33 INFRACCIONES Y PLAZO DE IMPLANTACIÓN Responsabilidad: Responsables de ficheros y encargados de su tratamiento Infracciones: (ART. 45 LOPD) Leves Graves Muy graves Sanciones: Leves de 600 a Graves de a Muy graves de , a Otras Solvencia Patrimonial y Crédito Administración Publicidad Directa Internet Seguros privados Sanidad Figura 1. Inspecciones por sectores 3 3

34 INFRACCIONES Y PLAZO DE IMPLANTACIÓN 3 4

35 INFRACCIONES Y PLAZO DE IMPLANTACIÓN PLAZOS Disposición Transitoria Segunda R.D. 1720/2007: Plazos de implantación medidas de Seguridad. FICHEROS AUTOMATIZADOS PREEXISTENTES 1 AÑO DESDE LA ENTRADA EN VIGOR NIVEL BÁSICO: 1 AÑO DESDE ENTRADA EN VIGOR FICHEROS NO AUTOMATIZADOS PREEXISTENTES NIVEL MEDIO: 18 MESES DESDE ENTRADA EN VIGOR NIVEL ALTO: 2 AÑOS DESDE ENTRADA EN VIGOR FICHEROS NUEVA CREACIÓN DESDE ENTRADA EN VIGOR 19 DE ABRIL

36 INTRODUCCIÓN A LA ISO NORMAS DE REFERENCIA ISO 27001: Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). Establece las especificaciones que debe cumplir el sistema de gestión que implante la organización para que pueda ser auditado y certificado. ISO 27002: Código de buenas prácticas para la gestión de la seguridad de la información. Da recomendación sobre como gestionar la seguridad de la información, a través de 12 secciones, cada una de las cuales tiene una serie de objetivos, que se alcanzan implantando una serie de controles. El número de controles establecidos son 133 que se desarrollan a lo largo de la norma. 3 6

37 INTRODUCCIÓN A LA ISO REQUISITOS DE LA NORMA ISO Figura 2. Requisitos ISO

38 INTRODUCCIÓN A LA ISO GESTIÓN DE LA SEGURIDAD ISO Figura 3. Ciclo PDCA

39 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHEROS MAS USUALES FICHEROS RECURSOS HUMANOS (PERSONAL) CLIENTES PROVEEDORES VIDEOVIGILANCIA (CÁMARAS DE SEGURIDAD) 3 9

40 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA Finalidad general: Gestión integrada de Recursos Humanos del personal laboral (gestión nóminas, gestión administrativa laboral, prevención de riesgos laborales, formación, selección de personal, seguros). 1.- TIPOLOGÍA DE DATOS RECOGIDOS: Identificativos: DNI/NIF, Nº SS/Mutualidad, Nombre y apellidos, Dirección postal y electrónica, Teléfono. Datos de características personales: datos de estado civil, datos de familia, fecha nacimiento, lugar nacimiento, edad, sexo, nacionalidad, Datos académicos y profesionales: formación, titulaciones, experiencia profesional, pertenencia a colegios profesionales, Datos de detalle empleo: profesión, puesto de trabajo, datos no económicos de nómina, historial del trabajador, control horario, Datos económico-financieros: datos bancarios, datos económico de nómina, planes de pensiones, deducciones impositivas, seguros y subsidios/beneficios fiscales. Datos especialmente protegidos: afiliación sindical y datos salud (incapacidad). 4 0

41 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA 2.- FINALIDADES PREVISTAS: Gestión de Recursos Humanos. Gestión contable, fiscal y administrativa: Gestión económica y contable, gestión fiscal, gestión administrativa. Recursos Humanos: Gestión de personal, gestión de nóminas, formación de personal, prestaciones sociales, selección de personal, prevención de riesgos laborales. Servicios Económico-financieros y seguros: Otro tipo de seguros. Control Horario y Selección de Personal. 3.- PROCEDENCIA Y RECOGIDA: Datos recabados del propio interesado, a través de encuestas, entrevistas, formularios y contratos. 4.- DATOS ESPECIALMENTE PROTEGIDOS: Afiliación sindical: necesario consentimiento expreso y por escrito. Datos salud para reconocimientos: consentimiento expreso y firmado. Para ciertos datos de salud (mutuas),cabe citar como ley que permite su tratamiento el RDLG1/1994, TRLGSS. 4 1

42 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA 5.- PRINCIPIO DE CALIDAD DE LOS DATOS. Los datos no podrán destinarse a otras finalidades distintas de las señaladas. Gestión de Recursos Humanos. Deberán mantenerse actualizados y puestos al día. Deberá procederse a su cancelación cuando concluya la relación laboral, procediendo primero a su bloqueo y conservación por los siguientes plazos legales: Acciones derivadas del contrato laboral: art.59 ET fija el plazo de 1 año desde la finalización relación. - Pago cuotas SS: art.21 TRLGSS establece un plazo de prescripción de 5 años. - Prestaciones indebidas: art.45.3 TRLGSS fija un plazo de 4 años. - Infracciones y sanciones del orden Social: art.4 Ley 8/1988 fija plazos de 3 y 5 años (prestación desempleo). - Conservación documentación: art.13 Ley 8/1988, fija un plazo de 5 años. 4 2

43 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA 6.- DEBER DE INFORMACIÓN. Nuevos Contratos: Cláusula LOPD contratos laborales. Los datos que ha proporcionado serán incorporados a un Fichero titularidad de, debidamente inscrito en la Agencia Española de Protección de Datos, con la finalidad de gestionar la identificación del personal, así como confeccionar las nóminas y desarrollar la gestión de recursos humanos y mantenimiento de relaciones con las Administraciones Públicas. Dado que entre sus datos pueden encontrarse algunos especialmente protegidos como datos de salud y datos de afiliación sindical, se le informa expresamente de su necesidad de tratamiento. Así mismo, usted presta el consentimiento para las cesiones y comunicaciones a terceros, necesarias para llevar a cabo las finalidades antes expuestas, tales como entidades bancarias, Administraciones Públicas, Mutuas Laborales y, en su caso, pago de cuotas sindicales. tiene implantadas todas las medidas de seguridad exigidas por el RD. 1720/2007, a fin de garantizar la confidencialidad absoluta en el almacenamiento y tratamiento de los datos personales, así como evitar accesos por parte de terceros no autorizados. Podrá acceder y ejercitar los derechos de acceso, rectificación, cancelación y oposición regulados por la LO. 15/1999, 13 de Diciembre, de Protección de Datos de Carácter Personal a través de carta dirigida al Responsable del Fichero a la dirección indicada en el encabezamiento. 4 3

44 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA Contratos Preexistentes. Cláusula LOPD información adjunta a nómina o enviada a través de comunicación específica. De conformidad con la LO 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal sus datos de carácter personal necesarios para el mantenimiento y gestión de la relación laboral, se encuentran incorporados a un Fichero titularidad de, que tiene por finalidad gestionar la identificación del personal, gestión de nóminas y el desarrollo de la gestión de recursos humanos, así como el mantenimiento de relaciones con las Administraciones Públicas. Dado que entre sus datos pueden encontrarse algunos especialmente protegidos como datos de salud y datos de afiliación sindical, se le informa expresamente de su necesidad de tratamiento. Así mismo, usted presta el consentimiento para las cesiones y comunicaciones a terceros, necesarias para llevar a cabo las finalidades antes expuestas, tales como entidades bancarias, Mutuas Laborales, Administraciones Públicas y, en su caso, pago de cuotas sindicales. Podrá acceder y ejercitar los derechos de acceso, rectificación, cancelación y oposición regulados por la LO. 15/1999, 13 de Diciembre, de Protección de Datos de Carácter Personal a través de carta dirigida al Responsable del Departamento de Recursos Humanos de. 4 4

45 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA 7.- CONCENTIMIENTO. Como regla general, salvo en el caso de tratarse datos especialmente protegidos, no será necesario recabar el consentimiento de los empleados para realizar aquellos tratamientos que se encuentran o puedan encuadrarse como necesarios para el mantenimiento, control y desarrollo de la relación laboral (art.6.2). a) Datos de salud: El dato de incapacidad es un dato especialmente protegido y conlleva la necesidad de solicitar el consentimiento expreso para su tratamiento. 1.- Realización de reconocimientos médicos a trabajadores: establecido por el art.22.2 Ley 31/1995, de Seguridad e Higiene en el Trabajo y Prevención de Riesgos Laborales. a) Si se trata de reconocimientos obligatorios, no será necesario el consentimiento del trabajador. b) Reconocimientos voluntarios, requiere el consentimiento expreso del trabajador. 2.- Realización de tratamientos datos de salud en el ámbito laboral: bajas laborales. Será necesario el consentimiento expreso del trabajador. 4 5

46 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA 8.- CESIONES DE DATOS. Cesión de datos de trabajadores a Mutuas de Accidentes de Trabajo y enfermedades Profesionales colaboradoras de la Seguridad Social: No requerirá el consentimiento expreso del trabajador, dado que son necesarios para poder cubrir las coberturas y prestaciones exigidas, y sin las cuales no podría mantenerse lícitamente la relación laboral. Contratación de pólizas de seguro colectivas o planes de pensiones: No será necesario recabar el consentimiento para el tratamiento y cesión de los datos de los empleados a la Compañía de Seguros con quien se tenga contratada la póliza colectiva. Recogida y cesión datos a Agencia Tributaria: se realiza en cumplimiento de la LGT; no es necesario el consentimiento salvo en los casos del porcentaje de incapacidad (donde deberá comunicarse específicamente dicha situación al interesado en la formalización del contrato). Comunicación de datos a la Tesorería General de la Seguridad Social: Es una obligación establecida a la Empresa y regulada en la LGSS. Comunicación datos Fundación Tripartita (FORCEM). Al considerarse por el art.4.2 e) ET como un derecho del trabajador, deberá informarse de la cesión de los datos a la Fundación y a la Empresa que realiza la formación. 4 6

47 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA 9.- SELECCIÓN DE PERSONAL. CLÁUSULAS INFORMATIVAS. RECEPCIÓN CURRÍCULUMS VITAE (ALMACENAMIENTO). Tu Curriculum Vitae ha sido incorporado a un fichero automatizado de datos, que tiene como finalidad la gestión de procesos de selección de personal realizados por. De conformidad a la Ley Orgánica 15/1999 de Protección de Datos podrás ejercitar tus derechos de acceso, modificación, cancelación y oposición al tratamiento de tus datos personales, de manera sencilla, enviándonos una carta, adjuntando fotocopia de tu DNI, a la siguiente dirección:. PROCESOS DE SELECCIÓN SIN CONSERVACIÓN POSTERIOR. informa que, una vez finalizado el proceso de selección, los Currículum Vitae recibidos no serán conservados en ningún tipo de soporte (informático o papel) y se procederá a su destrucción segura, adoptando las adecuadas medidas de seguridad. 4 7

48 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA 4 8

49 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA 4 9

50 ADECUACIÓN DE LA LOPD A LA EMPRESA. CASO PRÁCTICO FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA 5 0

51 CONCLUSIONES POR QÚE ADECUARNOS A LA LOPD? Sanciones. Legislación. Gestión segura de la información. Crear buena imagen, prestigio. Protección ante empleados por la incorrecta utilización de la información, del correo electrónico, Internet, etc... Evitar principales fuentes de problemas:» Clientes insatisfechos.» Personal interno.» Competencia. 5 1

52 NUESTRAS ÁREAS Certificación de Sistemas de Gestión o Calidad, Medio Ambiente, Seguridad y Salud Laboral, Responsabilidad Social Empresarial. Certificación de Producto y Servicio o Marcado CE, Marca N, o o Marcado Alimentario (BRC, IFS, GLOBAL GAP) Sectores; Turismo, Metal, Agroalimentario, Transporte, Servicios, Turístico, Automoción Integración legislativa o Ley 31/1995 de Prevención de Riesgos Laborales o Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su desarrollo reglamentario por el Real Decreto 1720/2007 o o o o o Reglamento 852/2004/CE Análisis de Puntos Críticos de Control (APPCC) en la Seguridad Alimentaria Ley Orgánica 3/2007 para la igualdad efectiva entre mujeres y hombre Ley 16/2002 Prevención y Control Integrado de la Contaminación (Licencia Ambiental) Directiva 2007/46/CE Procedimiento homologación vehículos, remolques, sistemas componentes y UTI (vehículos Industrial) Directiva 2003/37/CE Procedimiento homologación vehículos, remolques, sistemas componentes y UTI (Vehículo Agrícola) Servicios Integrales o Outsourcing Asesoría en Prevención de Riesgos Laborales o Auditoria Tramitación de licencias y subvenciones. o Actualización Legislativa Estudios de Gestión Empresarial. 5 2

53 CONTACTO Asier Corcho Sánchez Gestor de Sistemas Integrados Técnico Sup. en Prevención Licenciado en Derecho Móvil: Antonio Lobato Gutiérrez Gestor de Sistemas Integrados Técnica Sup. en Prevención Lic. Ciencias Biológicas Móvil: Web: NUESTRAS OFICINAS MADRID C/ La Diligencia Nº 9 despacho 112 (28018) Madrid BARCELONA Calle Estación, Nº 10 Barberà del Valles (08210) Barcelona VITORIA C/Portal de Arriaga 21-A 2ºD Vitoria Gasteiz ALMERÍA Avda. Cabo de Gata Nº 29, Bajo, (Cámara de Comercio) Despacho 17 (04007) Almería CONTINUAMOS A SU DISPOSICIÓN

54 GRACIAS, POR SU ATENCIÓN Y CONFIANZA. 5 4