LOPD 3.0: La gestión integral de riesgos LOPD



Documentos relacionados
ENTREVISTA A JOSÉ LUIS PIÑAR, DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

1.- Objetivo y descripción del funcionamiento

Aviso Legal. Entorno Digital, S.A.

5.1 REGISTRO DE FICHEROS Análisis de los datos tratados Inscripción de los ficheros... 5

GESTIONES INTEGRALES ASES, S.L

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

4.4.1 Servicio de Prevención Propio.

Gabinete Jurídico. Informe 0545/2009

CÓMO AFECTA LA LOPD A LOS GESTORES ADMINISTRATIVOS NOVEDADES INTRODUCIDAS CON EL RLOPD INFRACCIONES Y SANCIONES

Curso de Consultor LOPD

Cómo proteger el acceso a los datos en formato automatizado (parte I)

LOPD EN LA EMPRESA. Las cámaras de vigilancia y el cumplimiento de la LOPD


de la LOPD y del RDLOPD Cómo cumplir con la Ley sin perder operatividad y eficacia

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Empresas Instaladoras de CCTV y cumplimiento de la LOPD

FORMACIÓN LOPD. Innova Grandes Cuentas

LA LEY ORGANICA DE PROTECCION DE DATOS Y LAS CONSULTAS MEDICAS

LA LOPD EN LA EMPRESA. Cómo proteger el acceso a los datos en formato automatizado (parte I) Proteger el acceso al servidor.

QUÉ ES LA LOPD? QUÉ ES LA LSSI? Legislación aplicable:

Cómo pueden las empresas españolas protegerse y evitar la posible exigencia de RESPONSABILIDAD PENAL?

Registro General de Protección de Datos

que sea suficiente a estos efectos una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren las bajas producidas.

CONTRATAS Y SUBCONTRATAS NOTAS

Aviso Legal CONDICIONES GENERALES DE USO DEL SITIO WEB DE RADIOTAXILAGUNA.COM

empresa, con el fin de recabar la informaciónnecesaria para poder identificar los ficheros existentes.

Una Inversión en Protección de Activos

Registro de Contratos de seguro con cobertura de fallecimiento. Informe 125/2006

A TENER EN CUENTA. El registro de incidencias puede estar en soporte papel o bien, puede registrarse de forma automatizada.

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

LOPD EN LA EMPRESA. Cómo proteger el acceso a los datos en formato automatizado (parte I) Proteger el acceso al servidor.

Recogida de datos en las páginas web cumpliendo la LOPD

LEY ORGÁNICA DE PROTECCIÓN DE DATOS 3 MÓDULOS. 33 Horas

Gestión de la Configuración

Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo.

ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE

5.1. Organizar los roles

Cambio en el Servicio de Prevención de riesgos laborales y cesión de datos de salud. Informe 391/2006

CUESTIONARIO DE AUTOEVALUACIÓN

L.O.P.D. C/Rafael Sánchez 61. Real de San Vicente Toledo. Teléfono: Fax:

Fuente: Diario Palentino.es (15/02/2013). Para ver la noticia completa pulse aquí.

Información sobre la Ley Orgánica de Protección de Datos (LOPD)

MINISTERIO DE ECONOM~A Y HACIENDA

Servicio para colectivos Legislación A quien se dirige? Glosario Obligaciones Infracciones y sanciones Protección de Datos Servicio de Asesoramiento

INFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES

INTRODUCCIÓN A LA LEY ORGÁNICA DE DATOS DE CARÁCTER PERSONAL O LOPD

Publicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados.

MODELO 6. Política de Privacidad, Protección de Datos y Formularios de contacto.

Ley Orgánica de Protección de Datos

Gabinete Jurídico. Informe 0600/2009

CONSEJERÍA DE SALUD MANIPULADORES DE ALIMENTOS SITUACIÓN ACTUAL

Aspectos legales en tu Campaña de s

Cuál es el contenido de una solicitud de derechos ARCO?

DOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]

PREGUNTAS FRECUENTES SOBRE LA L.O.P.D.

Módulo 7: Los activos de Seguridad de la Información

L.O.P.D. Ley Orgánica de Protección de Datos

intercomarcal.com Juan Carlos Bajo officers- una- profesion- con- gran- futuro/

ENS: Esquema Nacional de Seguridad

Ley de Protección de Datos

LEGÁLITAS MULTIRRIESGO INTERNET PYMES Y AUTÓNOMOS

AREA DE PROTECCIÓN DE DATOS

Gabinete Jurídico. Informe 0290/2008

Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales

Curso Superior de LOPD Duración: 60 Horas Online, interactivo, 3 meses

TRABAJADORES AUTÓNOMOS. COORDINACIÓN DE ACTIVIDADES PREVENTIVAS

LOPD EN LA EMPRESA. Qué incidencias deben registrarse de cara a la LOPD?

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

LA CUESTIÓN N DE LA TITULARIDAD DE LA HISTORIA CLÍNICA

SEGURIDAD DE LA INFORMACIÓN

Aspectos legales en tu Tienda Online

POLÍTICA DE PRIVACIDAD

CÓMO AFECTA A LOS AUTÓNOMOS Y PYMES LA ANULACIÓN DE SAFE HARBOR (PUERTO SEGURO) SOBRE TRANSFERENCIAS INTERNACIONALES DE DATOS

REFLEXIONES JORGE SALGUEIRO SOBRE LA VIDEOVIGILANCIA EN LA NUEVA LEY DE SEGURIDAD PRIVADA Y LEY DE PROTECCIÓN DE SEGURIDAD CIUDADANA

CONTRATO DE ACCESO A DATOS PERSONALES ENTRE RESPONSABLE DEL FICHERO

Guía rápida de la Protección de Datos Personales en España

CERTIFICACIÓN ENERGÉTICA DE EDIFICIOS RD 47/2007

LOPD BURALTEC. Prestación de un servicio de alojamiento web en el extranjero

Nuestro Seguro nace con la vocación de facilitaros la más amplia Cobertura para proteger

GUÍA METODOLÓGICA PARA LA FORMACIÓN CON E-LEARNING DIRIGIDA A COLECTIVOS SIN ALTA CUALIFICACIÓN CAPÍTULO 4. Dirección Técnica:

Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como.

MINISTERIO DEL INTERIOR SECRETARÍA GENERAL TÉCNICA

LOPD EN L A E M P R E S A

EXPERTOS EN CUMPLIMIENTO NORMATIVO

Legitimación del Canal de Denuncia en cumplimiento de la LOPD. Línea Whistleblowing

AVISO LEGAL y POLITICA DE PRIVACIDAD

CONDICIONES GENERALES DE USO DEL SITIO WEB DE RC SL

La Ley Orgánica de Protección de Datos Personales (LOPD) En 20 minutos

Security Health Check

En este sentido y en cumplimiento de las disposiciones de la Ley 25/2

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Sistemas de Gestión de Calidad. Control documental


DATA SECURITY SERVICIOS INTEGRALES, S.L.

DUDAS FRECUENTES LOPD

Anexo XVII Caso práctico sobre las infracciones y sanciones de la LOPD

ORIENTACIONES. para. PRESTADORES de SERVICIOS. Cloud. Computing

Manual básico de. Voluntariado. Plataforma de Entidades de Voluntariado de la Comunidad de Madrid

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

Por qué es importante la planificación?

Transcripción:

Cápsulas BB2B La Ley Orgánica 15/1999, de protección de datos de carácter personal, más conocida como LOPD, y el reglamento que la desarrolla, tienen un impacto muy importante en la forma en la que las organizaciones pueden llevar a cabo sus operaciones diarias. Pensar en esta reglamentación única y exclusivamente como la incorporación de cláusulas en los contratos o la mejora de la seguridad de algunas aplicaciones informáticas, es observar sólo la punta del iceberg. Su integración implica una nueva forma de definir procesos, aquella que incorpora la gestión integral de los riesgos LOPD.

2 El primero de los pasos imprescindibles para poder valorar el impacto de la LOPD en nuestra organización, es conocer cuáles son los principios en los que se basa esta reglamentación. El derecho a la dignidad de las personas Dato de carácter personal: aquél que identifica o puede identificar a una persona Nuestras normas legales básicas, el Tratado de la UE y la Constitución española, recogen entre su clausulado la necesidad de asegurar la dignidad de las personas. La aceptación y promoción de la libre circulación de mercancías, servicios, personas y capitales debe realizarse bajo un marco que permita la libre circulación de datos personales garantizando la protección de las libertades y los derechos fundamentales. Con este objetivo nace la directiva 95/46/CE que recoge esta preocupación por la protección de la dignidad de las personas y en particular de sus datos. Esta norma debe ser traspuesta en cada uno de los miembros de la Unión de forma que se adapte a la realidad de cada estado miembro. De ahí nacen nuestra Ley Orgánica 15/1999, de Protección de datos de carácter personal y el Real Decreto 1720/2007, 7, de 21 de diciembre que la desarrolla. De esta premisa, sólo se puede obtener una conclusión: cualquier proceso de nuestra organización que incluya el tratamiento y gestión de datos personales, debe cumplir con los principios rectores de la ley. Se puede La trasposición realizada en España es considerada como la más restrictiva realizada, no sólo por encontrar más las sanciones que se imponen por la falta de su cumplimiento, sino también por su nivel de información de la exigencia y detalle. Para asegurar el cumplimiento de la ley y de los diferentes reglamentos que la AEPD y de muchos han desarrollado, se creó la Agencia Española de Protección de Datos (de ahora en adelante otros temas AEPD) que es el ente de derecho público que vela por el cumplimiento de la normativa sobre relevantes en su protección de datos personales en todos los ámbitos, público y privado, por lo que actúa con plena web: independencia de las Administraciones Públicas. www.agpd.es De qué nos debemos ocupar? Son cuatro los derechos de los afectados: (A)cceso, (R)ectificación, (C)ancelación y (O)posición Como buenos gestores empresariales, lo que debemos hacer es ocuparnos y no preocuparnos por los asuntos que tenemos encima de la mesa: La falta de buenas prácticas (no es necesario alcanzar la excelencia) en materia de seguridad de la información y en especial en la gestión de los datos de carácter personal, incrementa el nivel de riesgo al que nos exponemos. El exceso de información de carácter personal no estrictamente asociada al fin por el que la hemos recabado implica, por una parte, una vulneración de la norma y por otro, un mayor riesgo en la gestión de esos dt datos. Informar al afectado antes de recabar sus datos ya que debe conocer que la organización dispone de estos datos y donde puede ejercer sus derechos ARCO. Esta gestión afecta a la organización en su conjunto y, por lo tanto, a procesos, tecnología, estructura organizativa e instalaciones. Cualquier ámbito es susceptible de tratar datos de carácter personal. El incumplimiento de la Ley y el Reglamento, además del daño que puede implicar en nuestra imagen,,puede conllevar una sanción de hasta 600.000. El principal volumen de sanciones impuestas no proviene de un incumplimiento en lo que se consideran requerimientos mínimos (registro de los ficheros en la AEPD, elaboración del documento de Seguridad, adecuación de las medidas técnicas) sino del incumplimiento de la Ley en los procesos de gestión. Ver Figura 1.

3 Figura 1 Resoluciones 1 de la AEPD en 2009 Recurridas No recurridas Fuente: Datos AEPD, Elaboración propia 1 Resoluciones relativas a LOPD en 2009: 299, resto: 40 Art. 6 Consentimiento del afectado Art. 4 Calidad de los datos Art. 5 Derecho de información en la Art. 10 Deber de secreto Art. 9 Seguridad de los datos Art. 16 Derecho de rectificación y cancelación Art. 26 Notificación e inscripción registral Art. 11 Comunicación de datos Art. 7 Datos especialmente protegidos 0 30 60 90 120 El nivel de madurez de nuestras organizaciones El nivel de madurez en materia LOPD es un indicador que ya ha sido definido por Inteco en su estudio titulado Estudio sobre la seguridad de los datos de carácter personal en el ámbito de las Entidades Locales españolas de diciembre de 2008 en el que se establecen criterios en función del nivel de adecuación a las medidas que recoge el Reglamento de Medidas de Seguridad. Esta caracterización, a nuestro parecer, deja fuera un ámbito fundamental y sobre el que ni la Ley ni el Reglamento establecen medidas de revisión, como es el de los procesos de control interno que nos permiten validar que los procedimientos de gestión implantados mitigan los riesgos que hemos identificado. De hecho, en ningún punto, aparece como debe medirse y gestionarse el riesgo, pero de esto ya hablaremos en otro momento. Se hace difícil encontrar indicadores que permitan averiguar si el nivel de madurez es elevado o no, pero teniendo en cuenta la estructura de nuestro sector empresarial basado en pymes, con un nivel de concienciación en materias de seguridad de la información muy bajo y, por otra parte, unos ciudadanos que en su mayoría desconocen sus derechos nos podemos aventurar a decir que el nivel de madurez es en general mucho peor del que cabría esperar. Por otra parte, muchos de los asesores que están colaborando en la adecuación a la Ley, limitan el enfoque a la incorporación de algunas cláusulas contractuales (por otra parte necesarias) y a una visión más o menos detallada de los sistemas de información. Esta visión no consigue que sus clientes estén vigilantes a la gestión de los datos de carácter personal en sus procesos de gestión y por lo tanto, la supuesta adecuación se convierte en un cubrir el expediente. En una conferencia en la que estaba como ponente el Director de la AEPD, el Sr. Artemi Rallo, le oí decir que la adecuación a la ley es gratuita. Probablemente cabe interpretar esta afirmación como: La inscripción de los ficheros en el Registro de la AEPD es gratuita La elaboración del Documento de Seguridad utilizando el patrón que ofrece la propia Agencia, no debería suponer un coste.

4 Esto no significa que sea gratuita, la adecuación a esta regulación como a otras leyes requiere de un esfuerzo que, como todos se traduce en algún coste para la empresa, entre otros: Comprensión la Ley y el Reglamento asociado. Cambio en los procesos de negocio. Cambio en las plataformas tecnológicas. Compra de elementos que nos permitan guardar la información con el nivel de seguridad requerido. Este coste debe ser visto como una oportunidad para la mejora de nuestros procesos de gestión que debería redundar en mejorar la cuenta de resultados en posteriores ejercicios, o como mínimo, en no empeorarla. Por lo tanto se trata de una inversión, no de un gasto. Figura 2 Nuestra visión de los niveles de madurez en la gestión LOPD Nivel de riesgo Elaboración propia Adaptación de los aspectos legales mínimos que exige la normativa: creación del documento de seguridad, inscripción de los ficheros en el registro,... LOPD 1.0 Adaptación parcial o total de los sistemas de información de la compañía para que cumplan con los requisitos que exige el RDLOPD LOPD 2.0 en materia de seguridad de la información. Análisis de los riesgos que implica la LOPD evaluando y gestionando no sólo los aspectos legales y tecnológicos que exige la ley y el RDLOPD, si no analizando, evaluando, implantando y mejorando todos los procesos y actividades que gestionan datos de carácter personal. LOPD 3.0 Grado de madurez LOPD

5 Recomendaciones 1. Siempre que sea posible acceder a la fuente y en este caso lo mejor es acceder a la AEPD (www.agpd.es ). 2. Si el paso 1 es demasiado arduo o se dispone de poco tiempo, busca un asesor o como mínimo una charla gratuita sobre el tema. Te ayudará a asimilar los contenidos y adoptar un enfoque adecuado a tu organización. 3. Difundir el contenido más relevante a toda la organización, sin un conocimiento adecuado, incluyendo roles y responsabilidades, el riesgo de incumplimiento se incrementa sobre manera. 4. Si necesitas un asesor para la adecuación: a) Huye de soluciones mágicas, no existen. b) Aplica la frase, lo barato sale caro. Considera la relevancia del proceso e invierte en consecuencia, ni más ni menos. c) Si un asesor no te pregunta nada de tu negocio y de tus procesos, es imposible que sepa donde puedes tener problemas y lo peor, como priorizarlos. d) Esto no es un tema sólo de abogados o de informáticos implica a toda la organización, sus procesos y la tecnología que le da soporte. e) Busca a alguien que te acompañe en el proceso, el camino es más llevadero si tienes quien te ayuda a sortear obstáculos. f) No hay aplicación informática que te adecue, aunque te puede ayudar en tus procesos de gestión. 5. Considerar esta reglamentación como punto de mejora y de crecimiento sostenible, no como un freno a nuestro negocio. Forma parte de las reglas del juego. Nunca tenemos tiempo de hacer las cosas bien, pero siempre de hacerlo dos veces. Piensa siempre en esta frase antes de iniciar i i cualquier proceso de cambio. Este artículo ha sido elaborado por José Manuel Valdés, Director de BB2B. Esta publicación ha sido escrita en términos generales y por lo tanto puede ser que no cubra situaciones específicas. Better Business To Be, S.L. queda exenta de cualquier responsabilidad que pudiera derivarse por los perjuicios ocasionados por la interpretación o aplicación de cualquier material publicado. Better Business To Be, S.L. estará encantado de asesorar a todos los que lo consideren conveniente en la forma en la que deben ser aplicados los conceptos indicados. Copyright 2009. Better Business To Be, S.L. Todos los derechos reservados

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback