3. LA NECESIDAD
EXISTE UNA GRAN Y URGENTE NECESIDAD DE
ADECUAR LAS EMPRESAS Y AUTÓNOMOS A LA
LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL
www.apdasesores.com
5. ¿LE AFECTA A USTED ESTA LEY?
Quizás piense Usted que por ser una Pequeña Empresa, o
por ser Autónomo o una Comunidad de Propietarios, o por
la razón que sea, esta Ley (de 1999, y Reglamento de
diciembre de 2007),
NO LE AFECTA, QUE NO VA CON USTED …
www.apdasesores.com
6. Test de sanciones
1. ¿Tiene Vd. algún fichero informático o informático
(Excel, Access, Word, libreta direcciones, etc.) o no
informático en el que se recojan datos de personas
físicas (nombre, apellidos, dirección, etc.)?
Sí No
2. ¿Ha dado de alta esos ficheros en la Agencia Estatal de
Protección de Datos?
Sí No
www.apdasesores.com
7. 3. ¿Ha firmado con su asesoría fiscal y laboral y jurídica
y empresa informática un contrato que regule la
responsabilidad por el acceso a datos personales?
Sí No
4. ¿Ha adoptado Vd. las medidas de seguridad obligatorias
respecto a tratamiento de incidencias, copias de
seguridad, identificación de usuarios, gestión de
soportes, etc?
Sí No
www.apdasesores.com
8. 5. ¿Ha informado a sus trabajadores y/o usuarios de los
datos que maneja su Empresa, en papel o
informáticamente, de cuáles son sus derechos y cuáles
sus obligaciones en relación a la normativa de
protección de datos personales?
Sí No
6. ¿Ha redactado un Documento de Seguridad en el que se
especifiquen las medidas de seguridad adoptadas por su
empresa para cumplir con la legislación sobre protección
de datos?
Sí No
www.apdasesores.com
9. 7. ¿Sabría Vd. cómo reaccionar ante una petición de
acceso a los datos que se contienen en sus ficheros?
Sí No
www.apdasesores.com
10. NOTA:
La finalidad del presente cuestionario es exclusivamente la
de proporcionar una estimación indicativa de las
sanciones que pueden originar determinados
incumplimientos de la normativa sobre protección de
datos personales.
Ni su planteamiento ni su resultado prejuzgan situaciones
específicas, para cuyo examen sería necesario un
conocimiento mayor del caso concreto.
www.apdasesores.com
11. Test de sanciones (resultado)
1) ¿Tiene Ud. algún fichero informático o no informático
(excel, access, word, libreta direcciones, etc.) o no
informático en el que se recojan datos de personas físicas
(nombre, apellidos, dirección, etc.)?
Sí, tenemos ficheros informáticos y no informáticos en los
que se recogen datos de personas físicas.
www.apdasesores.com
12. 2) ¿Ha dado de alta esos ficheros en la Agencia de
Protección de Datos?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
13. Art. 44.2.c) LOPD:
No inscribir un fichero es infracción leve (601 € a 60.101
€) pero puede calificarse como muy grave (art. 44.4.i) si
sistemáticamente se ignora esta obligación (300.506 € a
601.012 €).
www.apdasesores.com
14. 3) ¿Ha firmado con su asesoría fiscal o laboral y empresa
informática un contrato que regule la responsabilidad por
el acceso a datos personales?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
15. Art. 44.3.d) LOPD:
Tratar los datos con conculcación de las garantías legales
constituye infracción grave (60.101 € a 300.506 €).
www.apdasesores.com
16. 4) ¿Ha informado a sus trabajadores y/o usuarios de los
datos que maneja su Empresa, en papel o
informáticamente de cuáles son sus derechos y cuáles sus
obligaciones en relación a la normativa de protección de
datos personales?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
17. Art. 44.2.d) LOPD:
Proceder a la recogida de datos de carácter personal de los propios
afectados sin proporcionarles la información que señala el artículo 5 de
la Ley constituye infracción leve (601 € a 60.101 €).
www.apdasesores.com
18. En relación con este punto, lo más importante es que, si
no se le señalan al trabajador cuáles son sus
obligaciones en relación a la normativa de protección de
datos, por un lado la Agencia puede llegar a entender que
la Empresa está incumpliendo las debidas medidas de
seguridad, lo que constituiría una infracción grave
(60.101 € a 300.506 €), y, por otro lado, no se le podrá
exigir responsabilidad alguna al trabajador en cuestión
si la Empresa es sancionada por una conducta de aquél
contraria a la normativa de protección de datos, puesto
que no se le informó a éste en su momento debidamente
de sus obligaciones en la materia.
www.apdasesores.com
19. 4) ¿Ha adoptado Vd.. las medidas de seguridad
obligatorias respecto a tratamiento de incidencias, copias
de seguridad, identificación de usuarios, gestión de
soportes, etc?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
20. Art. 44.3.h) LOPD:
Mantener los ficheros, locales, programas o equipos que
contengan ficheros sin las debidas medidas de seguridad
constituye infracción grave (60.101 € a 300.506 €).
www.apdasesores.com
21. 5) ¿Ha redactado un documento de seguridad en el que se
especifiquen las medidas de seguridad adoptadas por su
empresa para cumplir con la legislación sobre protección
de datos?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
22. Art. 44.3.d) LOPD:
Tratar los datos con conculcación de las garantías legales
constituye infracción grave (60.101 € a 300.506 €).
www.apdasesores.com
23. 6) ¿Sabría Vd.. cómo reaccionar ante una petición de
acceso a los datos que se contienen en sus ficheros?
No.
A continuación se transcribe el artículo en relación con la
infracción.
www.apdasesores.com
24. Art. 44.3.e) LOPD:
Obstaculizar el ejercicio del derecho de acceso o no
facilitar la información solicitada constituye infracción
grave (60.101 € a 300.506 €); hacerlo de forma
sistemática (Art. 44.4.h) constituye infracción muy grave
(300.506 € a 601.012 €).
www.apdasesores.com
25. NOTA SOBRE EL RESULTADO
Probablemente se habrá sorprendido Vd.. del importe al
que pueden ascender las sanciones. Ello se debe a que
nuestra legislación sobre protección de datos es de las
más duras del entorno europeo en materia
sancionatoria. Sólo en el año 2000 la Agencia de
Protección de Datos impuso sanciones por importe de
más de 12 millones de euros (casi dos mil millones de
pesetas). Y en el 2005, más de 20 millones de euros. Y
más de 22 en el 2006…
www.apdasesores.com
26. Obligaciones Legales
de la Normativa de Proyección de Datos (I)
OBLIGACIONES LEGALES DE LA
NORMATIVA DE PROTECCIÓN DE
DATOS:
L.O.P.D. y REGLAMENTO -Real Decreto
1720/2007, de 21 de diciembre.)
www.apdasesores.com
27. Obligaciones Legales
de la Normativa de Proyección de Datos (II)
La Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en
adelante LOPD), y su normativa de desarrollo (Real
Decreto 1720/2007, de 21 de diciembre, que
entrara en vigor el 19 de abril de 2008, por el que
se aprueba el Reglamento de desarrollo de la
Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal,),
obliga a la adopción de las medidas de seguridad
técnicas y organizativas que correspondan al tipo
de datos personales contenidos en los ficheros.
www.apdasesores.com
28. OBLIGACIONES LEGALES (I)
Inscripción de los ficheros en el Registro
General de la Protección de Datos. Artículo 26
LOPD.
Redacción de los Documentos de Seguridad.
"El responsable del fichero elaborará e
implantará la normativa de seguridad mediante
un documento de seguridad de obligado
cumplimiento para el personal con acceso a los
datos automatizados de carácter personal y a
los sistemas de información" (Real Decreto
1720/2007, de 21 de diciembre)
www.apdasesores.com
29. OBLIGACIONES LEGALES (II)
Redacción de cláusulas de protección de datos.
Artículo 5 LOPD:
Auditoría. (Real Decreto 1720/2007, de 21 de
diciembre).
Demás medidas de seguridad de índole técnica y
organizativas necesarias para garantizar la seguridad de
los datos objeto de tratamiento. Artículos 9 y 10 LOPD y
Real Decreto 1720/2007, de 21 de diciembre.
Redacción de los contratos, formularios y cláusulas
necesarias para la recogida de datos, los tratamientos
por terceros y las cesiones o comunicaciones de datos.
www.apdasesores.com
30. NIVELES DE SEGURIDAD
La ley identifica tres niveles de medidas
de seguridad, BÁSICO, MEDIO y ALTO,
los cuales deberán ser adoptados en
función de los distintos tipos de datos
personales (datos de salud, ideología,
religión, creencias, infracciones
administrativas, de morosidad, etc).
www.apdasesores.com
31. MÍNIMOS EXIGIDOS
Cada uno de estos niveles tiene la
condición de mínimos exigibles sin
prejuicio de las disposiciones legales o
reglamentarias especificas vigentes.
Cada una de las medidas de seguridad
de cualquier nivel es aplicable además
a las de nivel superior.
www.apdasesores.com
32. NIVEL BÁSICO TIPO DE DATOS (I)
Nombre
Apellidos
Direcciones de contacto (tanto físicas
como electrónicas)
Teléfono (tanto fijo como móvil)
Nº cuenta corriente
Otros
www.apdasesores.com
33. NIVEL BÁSICO TIPO DE DATOS (II)
datos identificativos,
características personales,
circunstancias sociales,
académicos y profesionales,
empleo y carrera administrativa,
información comercial...
www.apdasesores.com
34. NIVEL BÁSICO
Medidas de Seguridad Obligatorias
Documento de seguridad
Régimen de funciones y obligaciones del
personal
Registro de incidencias, Identificación y
autenticación de usuarios
Control de acceso
Gestión de soportes
Copias de respaldo y recuperación
www.apdasesores.com
35. NIVEL MEDIO TIPO DE DATOS (I)
Comisión infracciones penales
Comisión infracciones administrativas
Información de Hacienda Pública
Información de servicios financieros
www.apdasesores.com
36. NIVEL MEDIO TIPO DE DATOS (II)
datos de nivel básico que permitan
obtener un perfil de la persona,
datos sobre infracciones penales y
administrativas, datos de Hacienda,
de servicios financieros, de
solvencia patrimonial y crédito.
www.apdasesores.com
37. NIVEL MEDIO
Medidas de Seguridad Obligatorias
Medidas de seguridad de nivel básico
Responsable de Seguridad
Auditoría bianual
Medidas adicionales de Identificación y
autenticación de usuarios
Control de acceso físico
Medidas adicionales de gestión de soportes
Registro de incidencias
Pruebas sin datos reales
www.apdasesores.com
38. NIVEL ALTO TIPO DE DATOS (I)
Ideología
Religión
Creencias
Origen racial
Salud-Vida
www.apdasesores.com
39. NIVEL ALTO TIPO DE DATOS (II)
datos sobre la ideología,
creencia, religión, origen racial,
salud, vida sexual y datos
recabados con fines policiales.
www.apdasesores.com
40. NIVEL ALTO
Medidas de Seguridad Obligatorias
Medidas de seguridad de nivel básico y
medio
Seguridad en la distribución de soportes
Registro de accesos
Medidas adicionales de copias de
respaldo
Cifrado de telecomunicaciones
www.apdasesores.com
41. Qué derechos otorga la Normativa de
Protección de Datos a los Usuarios? (I)
Derecho de información. Artículo 5 LOPD.
Necesidad de solicitud de su
consentimiento. Artículo 6 LOPD.
La impugnación de valoraciones Artículo
13 LOPD.
Derecho de consulta al Registro General
de Protección de Datos Artículo 14 LOPD.
www.apdasesores.com
42. Qué derechos otorga la Normativa de
Protección de Datos a los Usuarios? (II)
Derecho de acceso, rectificación y
cancelación de datos Artículos 15, 16 y 17
LOPD.
Derecho de oposición. Artículo 17 LOPD.
Tutela de los derechos. Artículo 18 LOPD.
Derecho de indemnización. Artículo 19
LOPD
www.apdasesores.com
43. DERECHOS DE ACCESO (I)
El interesado tendrá derecho a solicitar y obtener
gratuitamente información de sus datos de carácter
personal sometidos a tratamiento, el origen de dichos
datos, así como las comunicaciones realizadas o que se
puedan realizar. La consulta podrá hacerse por una mera
visualización o indicando los datos objeto de tratamiento
mediante escrito, copia o fotocopia, certificada o no, en
forma legible e inteligible, sin utilizar claves o código que
requieran el uso de dispositivos mecánicas específicas.
Este derecho podrá ser ejercitado como máximo una vez
cada 12 meses, salvo que se acredite un interés legítimo.
www.apdasesores.com
44. DERECHOS DE ACCESO (II)
El ejercicio de este derecho será de forma
gratuita mediante solicitud o petición dirigida al
responsable del fichero, formulada mediante
cualquier medio que garantice la identificación
del afectado (D.N.I. u otro medio análogo), y en
la que conste el fichero o ficheros a consultar.
La petición deberá contener el domicilio a
efectos de notificaciones, fecha y firma.
El interesado, deberá utilizar cualquier medio
que permita acreditar el envío y recepción de la
solicitud.
www.apdasesores.com
45. Derecho de rectificación y cancelación (I)
Es la facultad o capacidad del afectado por la que puede
instar al responsable del fichero a cumplir con la
obligación de mantener la exactitud de los datos,
rectificando o cancelando los datos de carácter personal
que resulten inadecuados o excesivos, en su caso, o
cuyo tratamiento no se ajuste a la Ley.
Es un derecho cuyo ejercicio es gratuito. Se ejercerá
mediante solicitud o petición al responsable del fichero,
mediante cualquier medio que garantice la identificación
del afectado (p.e. D.N.I.) y en la que consten los datos
que hay que cancelar o rectificar y el/los fichero/s en que
se encuentran.
www.apdasesores.com
46. Derecho de rectificación y cancelación (II)
La petición deberá contener un domicilio a
efectos de notificaciones, fecha, firma del
solicitante, y acompañar fotocopia del D.N.I.
Además indicará el dato que es erróneo, y la
corrección que debe realizarse junto con la
documentación que justifique la rectificación,
salvo que la misma dependa exclusivamente del
consentimiento del interesado.
En el caso de cancelación deberá expresar la
revocación al consentimiento otorgado.
www.apdasesores.com
47. Derecho de oposición (I)
Es para los casos en que no es necesario el
consentimiento del afectado para el tratamiento
de los datos de carácter personal, y siempre
que una Ley no disponga lo contrario, éste
podrá oponerse a su tratamiento cuando existan
motivos fundados y legítimos relativos a una
concreta situación personal.
En tal supuesto el Responsable del Fichero
excluirá del tratamiento los datos del afectado.
www.apdasesores.com
48. Derecho de oposición (II)
Los interesados podrán oponerse previa
petición, y sin gastos, al tratamiento de datos
que les concierna, en cuyo caso se dará de baja
del tratamiento, cancelándose la información
que sobre ellos figuren en aquél.
Para su mayor comodidad le informamos que
usted dispone de modelos para poder ejercitar
sus derechos, los cuales puede solicitar a esta
Empresa, u obtener de la web de Agencia de
Protección de Datos, cuya dirección es la
siguiente:
https://www.agpd.es
www.apdasesores.com
49. Muchísimas gracias por su
atención y recuerden la
siguiente diapositiva…
www.apdasesores.com
50. INFORMACIÓN EN LA WEB
www.apdasesores.com
www.agpd.es
www.apdasesores.com