Jornadas de Concienciación en materia de protección de datos de carácter personal 1
Introducción El objeto de esta jornada de concienciación es abordar los aspectos fundamentales que deben ser tenidos en cuenta, en el tratamiento de datos personales realizados dentro de su actividad habitual y en toda la organización, por el personal de Grupo Globo Media así como aquellas personas, que presten sus servicios en cualquiera de las entidades del Grupo. 2
Legislación aplicable Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (Reglamento de desarrollo de la LOPD). Instrucciones de la AEPD. Recomendaciones de la AEPD. 3
Legislación aplicable Objeto de la LOPD y del Reglamento de desarrollo de la LOPD El objeto de la Ley es garantizar y proteger la privacidad e intimidad de las personas físicas, en lo que al tratamiento de sus datos se refiere. El Reglamento de desarrollo de la LOPD entre otros establece las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los ficheros y sistemas que intervengan en el tratamiento de datos de carácter personal. El conocimiento y cumplimiento de estas normas afecta a todos los empleados del Grupo Globo Media y a aquellos terceros que intervengan de forma directa o indirecta en el tratamiento de datos de carácter personal. 4
Conceptos básicos Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier tipo concerniente a personas físicas identificadas o identificables. Datos especialmente protegidos: ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Fichero: todo conjunto organizado de datos personales, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 5
Principios de Protección de Datos (I) Calidad de los datos: Adecuados, pertinentes, no excesivos y actuales Cancelar datos cuando dejen de ser necesarios o pertinentes para la finalidad para la cual hubiesen sido recabados. Excepción: bloqueo de datos durante los plazos de prescripción y/o legales establecidos. Bloqueo: identificación y reserva de datos de carácter personal con el fin de impedir su tratamiento excepto por parte de las Administraciones públicas, Jueces y Tribunales para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Derecho de información durante la recogida: Debemos informar al titular de los datos, en el momento de la recogida, de diversos aspectos. Consentimiento del afectado: Necesario para tratar datos personales, salvo excepciones, p.e.: -Datos que figuren en fuentes accesibles al público Transferencia internacional de datos: consentimiento expreso Menores: límite 14 años 6
Principios de Protección de Datos (II) Cesión de datos: Necesidad de consentimiento del interesado, salvo excepciones, p.e.: Cesión autorizada por Ley: salvaguardar el interés vital del afectado. Datos existentes en fuentes accesibles al público: repertorio telefónico, listas de colegios profesionales, los Diarios y Boletines Oficiales y los medios de comunicación. Cuando sea necesaria para el cumplimiento de la relación jurídica Acceso a los datos por cuenta de terceros: Con causa en una prestación de servicios Necesario contrato escrito con contenido mínimo obligatorio Subcontrataciones 7
Principios de Protección de Datos (III) Seguridad de los datos (establecido en el Reglamento de desarrollo de la LOPD): Se adoptarán las medidas técnicas y organizativas que garanticen la seguridad de los datos y eviten su alteración, pérdida y tratamiento o acceso no autorizado. Sobre todos aquellos ficheros tratados en el desarrollo de la actividad de la compañía, tanto titularidad de la misma como de una tercera parte (p.e. empresas del grupo) con quien se mantuviere una relación negocial. Niveles de seguridad: Básico: Aplicable a todos los ficheros con datos de carácter personal Medio: Aplicable a los ficheros con datos de comisión de infracciones penales y administrativas, Hacienda Pública, servicios financieros, ficheros de Entidades Gestoras y Servicios Comunes de la Seguridad Social, ficheros de mutuas de accidentes de trabajo y ficheros de perfiles y ficheros de datos de tráfico y localización de operadores de redes públicas de comunicaciones electrónicas. Alto: Aplicable a ficheros con datos sensibles (ideología, religión, creencias, afiliación sindical, raza, salud y vida sexual), ficheros recabados para fines policiales, ficheros derivados de actos de violencia de género. 8
Principales obligaciones del personal (I) Derechos de Acceso, Rectificación, Cancelación y Oposición Celeridad: plazos legales muy breves Requisitos obligatorios de la Solicitud: Plazos: Nombre y apellidos del interesado Fotocopia del DNI del interesado Petición en que se concreta la solicitud Domicilio a efectos de notificaciones Fecha y firma del solicitante Documentos acreditativos de la solicitud Acceso: 1 mes Rectificación/Cancelación: 10 días Oposición: 10 días. 9
Principales obligaciones del personal (II) Creación/Modificación/Supresión de Ficheros Notificación al Comité LOPD o persona designada por el mismo Aspectos a tener en cuenta: Creación: datos necesarios y congruentes Modificación: Nuevo registro no es modificación Supresión: Desaparición finalidad; datos no necesarios. 10
Principales obligaciones del personal (III) Ficheros temporales: fichero de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. No suponen creación de nuevo fichero Se deben borrar periódicamente Mismas medidas de seguridad que para el resto de ficheros Contraseñas: Personales e intransferibles Cambio con una periodicidad en ningún caso superior a un año. Posibilidad de reglas mínimas de configuración (número mínimo de caracteres; combinación de números y letras, etc) Custodia en lugar no accesible por terceros 11
Principales obligaciones del personal (IV) Procedimientos de Gestión de Incidencias: INCIDENCIA: cualquier anomalía que pudiera poner en peligro la seguridad de los datos personales: Accesos no autorizados Caída del sistema Perdida de Información Conocimiento por terceros de contraseñas de acceso Su resolución se coordina con el Comité LOPD o persona designada por el mismo bien, a través del departamento de sistemas o si es de soporte papel, a la dirección protecciondatos@grupoglobomedia.com 12
Principales obligaciones del personal (V) Seguridad de los datos. Obligación de TODO el personal que intervenga en el tratamiento de datos personales: Deber de confidencialidad de la información: firma cláusula o compromiso de confidencialidad Todos los datos serán almacenados en las Carpetas de Red Ordenadores portátiles: la información deberá estar volcada en Carpetas de Red Dispositivo móvil: contraseña Transmisión de datos de nivel alto: cifrado Gestión de soportes: Almacenamiento bajo llave Deberán permitir identificar el tipo de información que contienen (excepción: nivel alto) y sólo deberán ser accesibles por el personal autorizado debidamente Destrucción segura Datos de nivel alto: cifrado 13
Actividad de la AEPD Potestad de inspección - De oficio - Por denuncia Potestad Sancionadora SANCIÓN Leve Grave Muy grave No solicitar la inscripción del fichero de datos en el Registro General de Protección de Datos. La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales. No recabar el consentimiento de los titulares; La vulneración del deber de guardar secreto; La obstaculización del ejercicio de los derechos A.R.C.O. Recogida engañosa de datos; Tratar datos de nivel alto sin consentimiento expreso y por escrito. De 900 a 40.000 euros De 40.001 a 300.000 euros De 300.000 a 600.000 euros 14
Futuras novedades (I) Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos Menores: 13 años Autorización de la AEPD antes de realizar determinados tratamientos de datos: - Evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales - Medidas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, y de impedir cualquier forma de tratamiento ilícito en particular la comunicación o el acceso no autorizado o la alteración de los datos personales. Notificación de Incidencias a la AEPD: - Plazo: 24 horas, cualquier retraso deberá ser justificado. - Se deberá informar de la naturaleza de la violación de datos, el número de interesados afectados, las medidas para atenuar los posibles efectos y las medidas correctivas adoptadas. - Posibilidad de notificación a los interesados cuando afecte negativamente a la protección de datos 15
Futuras novedades (II) Posibilidad de indemnización por el perjuicio sufrido Responsabilidad solidaria por el importe total de los daños. Leve Grave Muy grave De forma deliberada o negligente no se cumpla con las obligaciones de informar sobre los derechos de acceso, rectificación, cancelación. No se facilite información, o ésta sea incompleta, sobre el tratamiento de datos, no se respete el derecho de cancelación o no se cumpla con los plazos No lleve a cabo una evaluación de riesgos, no alerte o notifique una violación de datos, se incumpla con el deber de secreto, se incumpla el deber de consentimiento SANCIÓN Hasta 250.000 o el 0,5% del vol. Negocios anual a nivel mundial Hasta 500.000 o el 1% del vol de negocios anual a nivel mundial Hasta 1.000.000 o el 2% del vol de negocios anual a nivel mundial 16
Y para caso de duda? Servicios internos SISTEMAS COMITÉ LOPD ASESORÍA JURÍDICA 17
GRACIAS POR SU ATENCIÓN 18