1. LA GESTIÓN DE LA INFORMACIÓN:
EL DIFÍCIL EQUILIBRIO ENTRE LA EFICACIA YEL DIFÍCIL EQUILIBRIO ENTRE LA EFICACIA Y
EL CUMPLIMIENTO DE LA LEY
1www.globalestrategias.es 1www.globalestrategias.es
2. Eneko Ariz López de Castro
Abogado en Lener
E i li t T l í d lEspecialista en Tecnologías de la
Información, Propiedad Intelectual e
Industrial.
enekoariz@lener.es
@enekoariz@enekoariz
http://www.slideshare.net/enekoariz
http://es.linkedin.com/in/enekoarizlopez
decastro
2www.globalestrategias.es
3. SUMARIO
Introducción
Conceptos Básicos
La Gestión de la Agenda de ContactosLa Gestión de la Agenda de Contactos
Recogida de Datos
Envío de Comunicaciones Comerciales
Ejercicio de Derechosje c c o de e ec os
Custodia de Documentos
Perdida de Información
Destrucción de Documentos
3www.globalestrategias.es
5. La información se ha convertido en un bien jurídico deLa información se ha convertido en un bien jurídico de
extraordinario valor que mueve intereses económicos
importantes y se configura como un elemento imprescindible
en múltiples iniciativas públicas y privadas.en múltiples iniciativas públicas y privadas.
Tanto la Administración como la empresa privada disponen de
un gran volumen de datos personales que pueden procesar eg p q p p
interconectar cada vez con mayor facilidad gracias a los
avances tecnológicos.
Muchos de esos datos revelan aspectos íntimos de sus
titulares (datos patrimoniales, relativos a la comisión de
infracciones, de salud, de ideología, origen racial, sexuales…).
A lo largo del día manejamos un elevado número de datos
personales que debemos gestionar con diligencia.
5www.globalestrategias.es
19. ¿QUÉ ES LA PROTECCIÓN DE DATOS?
La Protección de datos es un derecho fundamentalLa Protección de datos es un derecho fundamental
del ciudadano contra la utilización no autorizada
por terceros de sus datos personales.
19www.globalestrategias.es
20. ¿CUÁL ES EL OBJETIVO DE LA LOPD?
G ti t l i lGarantizar y proteger en lo que concierne al
tratamiento de los datos personales, las
libertades públicas y derechos fundamentales delibertades públicas y derechos fundamentales de
las personas físicas, especialmente, su honor e
intimidad personal y familiar.
20www.globalestrategias.es
22. Dato personal
I f ió i t fí i id tifi dInformación concerniente a personas físicas identificadas o
identificables.
Persona Identificable
Toda persona cuya identidad pueda determinarse directa oToda persona cuya identidad pueda determinarse, directa o
indirectamente, mediante cualquier información referida a su
identidad física, fisiológica, psíquica, económica, cultura o
social Una persona física no se considerará identificable si dichasocial. Una persona física no se considerará identificable si dicha
identificación requiere plazos o actividades desproporcionados.
FicheroFichero
Todo conjunto organizado de datos de carácter personal,
cualquiera que fuere la forma o modalidad de creación,
22www.globalestrategias.es
q q ,
almacenamiento, organización y acceso.
23. Afectado o interesado
Persona física titular de los datos objeto del tratamiento.
Encargado del tratamiento
Persona física o jurídica que trate datos personales por
cuenta del Responsable.
Responsable del fichero o del tratamiento
Persona física o jurídica, de naturaleza pública o privada, que
decide sobre la finalidad, contenido, y uso del tratamiento.
23www.globalestrategias.es
24. LA GESTION DE LA AGENDA DE CONTACTOSLA GESTION DE LA AGENDA DE CONTACTOS
24www.globalestrategias.es
25. ¿ESTÁN LOS DATOS DE MI AGENDA DE CONTACTOS
á á ó
¿ESTÁN LOS DATOS DE MI AGENDA DE CONTACTOS
SOMETIDAS A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS?
No están dentro del ámbito de aplicación de la LOPD:
• Datos referidos a personas jurídicas
• Los ficheros que se limiten a incorporar los datos de las
personas físicas que presten sus servicios en empresas,
consistentes únicamente en:consistentes únicamente en:
Nombre y apellidos
Las funciones o puestos desempeñados
La dirección postal o electrónicaLa dirección postal o electrónica
Teléfono y número de fax profesionales.
25www.globalestrategias.es
26. É¿QUÉ USO PUEDE HACER DE LOS DATOS DE MI AGENDA?
C l i i l fi lid d l i t f i lCualquiera siempre que la finalidad sea exclusivamente profesional
Si el uso está fuera del marco profesional, hay que cumplir con todas
las obligaciones establecidas en la LOPDlas obligaciones establecidas en la LOPD.
26www.globalestrategias.es
27. ASPECTOS A TENER EN CUENTA EN LA RECOGIDA DE DATOS
Datos requeridos
Finalidad
Información
Consentimiento
27www.globalestrategias.es
28. ¿CÓMO GESTIONAMOS LAS SOLICITUDES DE
EJERCICIO DE DERECHOS?
DERECHOS
ACCESO
RECTIFICACIÓN
CANCELACIÓN OPOSICIÓN OTROSCANCELACIÓN
28www.globalestrategias.es
29. ¿CÓMO GESTIONAMOS LAS SOLICITUDES DE
EJERCICIO DE DERECHOS?
Legitimación:
• Los derechos de acceso, rectificación, cancelación y
i ió lí i á j idoposición son personalísimos y serán ejercidos por:
El afectado acreditando su identidad.
El representante legal del afectado incapaz o
menor de edad que acredite tal condición.
El representante voluntario expresamente
designado para el ejercicio del derecho acreditando
la identidad del representado mediante aportaciónla identidad del representado, mediante aportación
de copia de su DNI o documento equivalente y la
representación conferida por aquél.
29www.globalestrategias.es
30. ¿CÓMO GESTIONAMOS LAS SOLICITUDES DE
EJERCICIO DE DERECHOS?
¿Ante Quién?
• Los derechos de acceso rectificación cancelación y• Los derechos de acceso, rectificación, cancelación y
oposición podrán ser ejercidos ante:
Responsable del TratamientoResponsable del Tratamiento.
Encargado del Tratamiento: El Encargado del
Tratamiento dará traslado de la solicitud alTratamiento dará traslado de la solicitud al
Responsable a fin de que por el mismo se resuelva, a
menos que en la relación existente con el Responsable
del Tratamiento se prevea precisamente que elp p q
Encargado atenderá, por cuenta del Responsable, las
solicitudes de ejercicio de derechos.
30www.globalestrategias.es
31. Condiciones Generales
¿CÓMO GESTIONAMOS LAS SOLICITUDES DE
EJERCICIO DE DERECHOS?
Condiciones Generales
• Procedimiento sencillo y que no suponga un ingreso adicional
• Obligación de ofrecer al interesado la posibilidad de utilizar los
servicios para la atención a sus clientes o el ejercicio de
reclamaciones relacionadas con el servicio prestado o los productos
ofertados para ejercitar sus derechos de acceso rectificaciónofertados para ejercitar sus derechos de acceso, rectificación,
cancelación y oposición.
• Obligación de atender la solicitud de acceso, rectificación, cancelacióng , ,
y oposición aunque no se hubiese utilizado el procedimiento
establecido por el Responsable siempre que el interesado haya
utilizado un medio que permita acreditar el envío y la recepción de la
solicitud y que ésta contenga los elementos exigidos por elsolicitud y que ésta contenga los elementos exigidos por el
Reglamento.
• Obligación de adoptar las medidas necesarias para garantizar que el
31www.globalestrategias.es
g p p g q
personal de la organización puede informar del procedimiento de
ejercicio de derechos.
32. ¿PUEDO ENVIAR COMUNICACIONES COMERCIALES¿PUEDO ENVIAR COMUNICACIONES COMERCIALES
ELECTRÓNICAS A MIS CONTACTOS?
Si son clientes:
• Siempre que no pidan expresamente que no se remitan
Si no son clientes:
• Hay que solicitar con carácter previo el consentimiento• Hay que solicitar con carácter previo el consentimiento
32www.globalestrategias.es
38. Y ALGUNAS NO TAN HABITUALES
38www.globalestrategias.es
39. ¿Tenemos que aplicar las mismas medidas
de seguridad a todos los documentos?
Distintos tipos de medidas en función del tipo de dato contenido en el
documento:documento:
• Nivel Básico
• Nivel Medio
• Nivel Alto
39www.globalestrategias.es
40. ¿CÓMO TENEMOS QUE ORGANIZAR LOS
DOCUMENTOS?
Aspectos a garantizar:Aspectos a garantizar:
• ConservaciónConservación
• Su localización
• Consulta de la información
• Posibilidad de ejercicio de derechos
40www.globalestrategias.es
42. Ó¿CÓMO TENEMOS QUE ALMACENAR LOS DOCUMENTOS?
Los dispositivos de almacenamiento de documentos que contenganLos dispositivos de almacenamiento de documentos que contengan
datos de carácter personal deberán disponer de mecanismos que
obstaculicen su apertura.
42www.globalestrategias.es
43. ¿Y SI NO DISPONEMOS DE MECANISMOS
QUE IMPIDAN LA APERTURA?
Adopción de medidas alternativas que impidan el acceso de
personas no autorizadas.
43www.globalestrategias.es
44. ¿CÓMO ALMACENAMOS LOS DOCUMENTOS QUE¿CÓMO ALMACENAMOS LOS DOCUMENTOS QUE
TIENEN INFORMACIÓN DE NIVEL ALTO?
E á l l té t id t dEn áreas en las que el acceso esté protegido con puertas de
acceso dotadas de sistema de apertura mediante llave u otro
dispositivo equivalente.
Cerradas, cuando no sea preciso el acceso a los documentos
44www.globalestrategias.es
45. ¿QUÉ HACEMOS CUANDO ESTAMOS TRABAJANDO CON LA
DOCUMENTACIÓN?
La persona que se encuentre al cargo de la misma deberá
custodiarla e impedir en todo momento que pueda ser
accedida por persona no autorizada.
45www.globalestrategias.es
46. ¿CÓMO HACEMOS LAS COPIAS DE
La generación de copias o la reproducción de documentos
LOS DOCUMENTOS DE NIVEL ALTO?
La generación de copias o la reproducción de documentos
únicamente podrá ser realizada bajo el control de personal
autorizado en el Documento de Seguridad.
Deberá procederse a la destrucción de copias o reproducciones
desechadas de forma que se evite el acceso a la información
contenida en las mismas o su recuperación posterior.p p
46www.globalestrategias.es
47. Ó¿CÓMO GESTIONAMOS EL ACCESO
A LOS DOCUMENTOS DE NIVEL ALTO?
Limitado al personal autorizado.
Mecanismos que permitan
identificar los accesos realizados
l d d ten el caso de documentos que
puedan ser utilizados por
múltiples usuarios.
El acceso de personas no
incluidas en el párrafo anterior
deberá quedar adecuadamentedeberá quedar adecuadamente
registrado
47www.globalestrategias.es
48. Siempre que se proceda al traslado físico de la
TRASLADO DE LA DOCUMENTACIÓN
Siempre que se proceda al traslado físico de la
documentación contenida en un fichero deberán adoptarse
medidas dirigidas a impedir el acceso o manipulación de la
información objeto de traslado.información objeto de traslado.
48www.globalestrategias.es
50. DESTRUCCIÓN DE DOCUMENTOSDESTRUCCIÓN DE DOCUMENTOS
Medidas dirigidas a evitar el acceso a la información contenida en el mismo o su
recuperación posterior.
Opción A:
• Digitalización
En función del tipo de Documento habrá que firmalos electrónicamente
Opción B:
• Destrucción
Criterios
Vigencia del Documento
Mandato Legal
Utilidad del documento
Si contratamos terceras empresas hay que regular el tratamiento de
l d t
50www.globalestrategias.es
los documentos
52. SUFRIMOS UNA PERDIDA DE INFORMACIÓN
Contar con las medidas de seguridad implantadas
Seguir el procedimiento para la gestión de las incidencias que
afectan a la seguridad.
Registramos la incidencia y la solución.
52www.globalestrategias.es
53. USO DE PORTATILES FUERA DE LA OFICINA
Establecer un sistema de identificación, inventario y limitación, y
de acceso a los soportes.
La salida de soportes deberá ser autorizada
Traslado de documentación se adoptarán medidas dirigidas a
evitar la sustracción, pérdida o acceso indebido a la
óinformación durante su transporte.
53www.globalestrategias.es