s e g u r i d a d d e l a i n f o r m a c i ó n
Cómo vender sin incumplir la ley? (Tudela, 14 de abril de 2015)
Cómo recoger datos de mis potenciales y clientes para enviarles publicidad cumpliendo la LOPD? Cómo hacer acciones de marketing; sorteos promociones, difusión de fotos de eventos? Cómo hacer que mi web cumpla con la LSSICE?
Cómo recoger datos de mis potenciales y clientes para enviarles publicidad cumpliendo la LOPD?
LOPD
Normativa en materia de Protección de Datos. Directiva 95/46/CE. LORTAD 5/ 1992 y RD 994/1999 Ley 15/1999 sobre Protección de Datos de Carácter Personal (LOPD). Obligatorio 1999. RD 1720/2007 de Desarrollo de la LOPD. Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE). Ley 32/2003 de 30 de Noviembre Gnal de Telecomunicaciones.
Qué es la LOPD? Ley Orgánica de obligado cumplimiento desde 1999. La protección de datos es un derecho fundamental de las personas como máxima expresión de su derecho a la intimidad. Reconoce a cada persona la propiedad de sus datos. Son responsables las empresas y profesionales que traten datos de carácter personal.
Qué es la AGPD? AGPD: Agencia Española de Protección de Datos Ente de derecho público. Potestad sancionadora. Independiente en sus actuaciones. Sede en Madrid. www.agpd.es
Qué es un dato? Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. Qué datos tengo en mi comercio? Clientes Gestiones Comerciales / Contactos Tarjeta de cliente /sorteo Formulario Web Video vigilancia
Qué es un fichero? Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuese la forma o modalidad de su creación, almacenamiento, organización y acceso. Tipo de fichero: Fichero informático (CRM, Outlook, Excel, Access, etc.) Soporte papel (Cuaderno, listado, cupones )
NIVELES DE SEGURIDAD Nivel básico Datos de contacto, Nombre, apellidos, DNI, teléfono Nivel medio Datos personalidad, infracciones penales y admtvas. Nivel alto Salud, origen racial, etc.
Qué tipo de datos son los de mis potenciales y clientes? DEPENDE Vendo zapatillas Básico.- nombre, apellidos, teléfono Vendo zapatillas ortopédicas a medida Alto.- Datos de salud
Nivel Básico Tipo de datos: Cualquier Dato Personal Nombre, Apellidos Dirección Postal ó Electrónica D.N.I. o N.I.F. Teléfono Fijo ó Móvil, Foto
Nivel Básico Medidas de seguridad : Inscripción del ficheros Documento de Seguridad Funciones y obligaciones del personal Informar con cláusulas a los interesados
Nivel Básico Medidas de seguridad : Registro de incidencias Identificación y autenticación de accesos. Almacenar contraseñas de forma ininteligible. Realización, al menos semanal, de Copias de respaldo. Procedimientos de gestión de soportes y documentos.
Nivel Medio Tipo de datos: Infracciones Penales y Administrativas Información de Hacienda Pública Información sobre Personalidad Información sobre Solvencia Patrimonial y Crédito
Nivel Medio Medidas de seguridad: Responsable de Seguridad Medidas adicionales de identificación y autenticación de usuarios. Contraseñas y usuarios personales. Bloqueo de usuarios por intentos de acceso reiterados de forma errónea. Gestión de soportes; Registro de E/S de llaves USB, CD, DVD etc.
Nivel Alto Tipo de datos: Afiliación sindical Religión Salud Origen Racial Creencias Vida Sexual
Nivel Alto Medidas de seguridad: Todas las medidas anteriores +.. Distribución de soportes cifrados: Llaves USB, cd/dvd, PC Portátiles, etc. Cifrado de telecomunicaciones: Envío de documentos e- mail. Consentimiento por escrito del interesado
Índice emailing
Índice Previo al envío
Origen de los datos Provengan de fuentes accesibles al público: Según la AGPD son fuentes accesibles al publico: - El censo promocional - Las guías de servicios de comunicaciones electrónicas - Listado de colegios profesionales - Diarios y boletines oficiales - Medios de comunicación social - Internet NO es una fuente accesible al público.
Origen de los datos Sean clientes nuestros y les mandemos información comercial sobre productos y/o servicios similares Hayan prestado su consentimiento para el envío de nuestra publicidad o prospección comercial. Para finalidad determinada y explicita Determinar los sectores de actividad de los que puedan recibir publicidad. Guardar la prueba: la firma del cupón, o formulario.
Características de los datos Los datos que utilicemos para el envío comercial deberán ser: a) Adecuados b) Pertinentes c) No excesivos d) Actualizados (No guías, páginas amarillas, de ediciones anteriores) e) No excluidos (Comprobar LISTA ROBINSON). https://www.listarobinson.es/default.asp Multa 60.000 f) Comprobar si ya ha habido previamente un envío, comprobar la lista de revocados.
Inscripción fichero Notificar a la AGPD el fichero creado - Finalidad - Colectivo - Datos - Cesiones
Obligaciones LOPD Cuidado si subcontratamos.. el encarte, la acción comercial.. Si un tercero tiene acceso a mi bbdd hay que firmar un contrato de encargado de tratamiento: Que debe hacer con la BBDD Que va a pasar cuando el encargo termine: destrucción, devolución, Obligación del tercero de cumplir con la LOPD
Durante el envío
Obligaciones En todas nuestras comunicaciones comerciales: 1. Cláusula de Información. - De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los datos y de los destinatarios de la información. - Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. - De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. - De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. - De la identidad y dirección del responsable del tratamiento, o en su caso, de su representante.
Obligaciones 2. Uso del CCO (Con Copia Oculta) (multa 600 ) 3. Carga de la prueba: conservación del soporte. 4. Identificación de la Persona Física ó Jurídica en nombre de la cual se haga la comunicación comercial. 5. Acceso claro a condiciones de premios, promociones, concursos, etc. 6. Se debe ofrecer un mecanismo de revocación sencillo y gratuito, en cada una de las comunicaciones comerciales que enviemos.
Consentimiento Solicitaremos el consentimiento de los destinatarios para el envío de nuestra información comercial, en determinadas ocasiones : a) Origen de los datos: - Si no son clientes b) Forma de envío utilizado: - Email - Cualquier medio electrónico
Después del envío
Atender los Derechos Medio gratuito: Habilitaremos un medio sencillo y gratuito para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. No podremos exigir al interesado, el envío de cartas certificadas o llamadas, a números de tarificación adicional. Respuesta: Una vez recibida la solicitud deberemos atenderlo. Revocación: Registrar las peticiones de revocación en una lista negra y establecer el procedimiento.
Derecho de Acceso Contestación obligada. Plazo de 30 días para resolver la petición. Si tenemos datos: Datos de carácter personal Origen de los mismos Cesiones o comunicaciones previstas
Derecho de rectificación Interesado solicita rectificación y/o cancelación. Contestación obligada. Plazo de 10 días para rectificar y/o cancelar. Para los datos cedidos, comunicación al 3º de rectificación y/o cancelación.
Derecho de cancelación Cuando los datos de carácter personal ya no sean necesarios o pertinentes para la finalidad recabada: Deberemos cancelarlos, no obstante, se podrán conservar durante el tiempo en que puedan exigirnos algún tipo de responsabilidad. Caso No cancelación
Cómo hacer que mi web cumpla con la LSSICE?
Obligaciones Informar Política de Privacidad.- Aviso Legal Su denominación social, NIF, domicilio y dirección de correo electrónico, teléfono o fax Los datos de la inscripción registral Códigos de conducta a que estén adheridas Los datos relativos a la autorización administrativa necesaria para el ejercicio de la actividad o datos de colegiación y titulo académico de profesionales que ejerzan una actividad regulada
Obligaciones Informar Política de Privacidad.- Información LOPD: Existencia de fichero y finalidad de recogida de datos. Tratamiento de Datos: Envíos comerciales Bolsa de Empleo Cesiones de datos Entidades bancarias Empresas de transportes Propiedad Intelectual Nomas de foros
Recabar el Consentimiento Diseño formulario de recogida de datos: He leído y acepto la Política de Privacidad (enlace obligatorio)
Comercio Electrónico Condiciones Generales de Venta Gastos de envío (Península, Canarias, Baleares,.) Impuestos Pago: modalidades pago Plazos de entrega Política de devolución Dº de Desistimiento: 14 días naturales
Comercio Electrónico Si realizan contratación electrónica de forma previa deben informar Trámites que deben seguirse para contratar on-line Si el documento electrónico del contrato se va a archivar o no y si éste será accesible Medios técnicos para identificar y corregir errores en la introducción de datos Lengua o lenguas en que podrá formalizarse el contrato Condiciones generales a que se sujete el contrato Y confirmar la celebración del contrato por vía electrónica, mediante el envío de un acuse de recibo del pedido realizado
Cookies LSSICE infracciones: 22. 2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
Cookies Sanciones Infracción leve: 38. 4 g) Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2. (multa de hasta 30.000 ). Infracción grave: 38. 3 i) La reincidencia en la comisión de la infracción leve prevista en el apartado 4 g) cuando así se hubiera declarado por resolución firme dictada en los tres años inmediatamente anteriores a la apertura del procedimiento sancionador. (multa de 30.001 a 150.000 ).
Menores La Agpd multa a una empresa con 210.000 por mandar una Visa Oro a un menor.
Menores Recomendaciones sobre menores: Fotografías Con consentimiento de los padres, tutores. Recoger consentimiento del colegio. Menores: formulario
Menores -Información sencilla, lenguaje comprensible para el menor - Obligación de la empresa de implantar procedimientos que garanticen: La comprobación de la edad La comprobación del consentimiento prestado No Recabar información de los padres: profesión del padre/madre, ingresos
Sanciones
Sanciones Tipo de infracción y sanción correspondiente Infracción Sanción Muy Grave Multa de 150.001 a 600.000 euros Grave Multa de 30.001 a 150.000 euros Leve Multa hasta 30.000 euros
Sanciones envío comerciales Sanciones envío e-mails o sms Grave El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos multa de hasta 150.000 euros. Leve El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos y no constituya infracción grave multa de hasta 30.000 euros
Sanciones más frecuentes comercios 1.- NO INSCRIPCION DE LOS FICHEROS EN LA AGPD: Sanción de 900 a 40.000 2.- NO INFORMACIÓN A LOS CLIENTES/POTENCIALES: Tratamiento de la información. Ficha de recogida de datos, consentimiento informado Sanción: hasta 40.000 3.- CESION IRREGULAR DE DATOS: Ejemplo: SANYRES. LOGROÑO Sanción: hasta 300.000
Sanciones más frecuentes comercios 4.- NO SE FIRMA UN ACUERDO DE CONFIDENCIALIDAD: Trabajadores Asesores, Informáticos Evitar Fugas de información Sanción de hasta 40.000 5.- USO NO CONSENTIDO DE LAINFORMACION: Subir fotos a nuestra web, redes sociales, etc. Mala imagen de nuestro negocio Sanción de 60.000
Las infracciones más frecuentes 6.- NO ATENDER LOS DERECHOS DE LOS INTERESADOS Derecho de cancelación, oposición, acceso y rectificación. Sanción de hasta 90.000 7.- NO UTILIZAR EL CCO Y DIFUNDIR LOS EMAILS DE NUESTRA BBDD: Sanción de hasta 300.000
Guías útiles sobre privacidad y legalidad en las redes sociales
GUIAS INCIBE: INSTITUTO NACIONAL DE CIBERSEGURIDAD https://www.incibe.es/ OSI: OFICINA DE SEGURIDAD DEL INTERNAUTA https://www.osi.es/es/ FACEBOOK https://www.osi.es/es/actualidad/blog/2014/04/14/seguridad-y-privacidad-en-redes-sociales-i-facebooktodo-lo-que-debes-sab TWITTER https://www.osi.es/es/actualidad/blog/2014/04/21/seguridad-y-privacidad-en-redessociales-ii-twitter-todo-lo-que-debes-sab
INCIBE: Instituto Nacional de Ciberseguridad
OSI: Oficina de Seguridad del internauta
OSI: Facebook, seguridad y privacidad
OSI: Twitter, seguridad y privacidad
s e g u r i d a d d e l a i n f o r m a c i ó n