Este documento explica cómo la Ley Orgánica de Protección de Datos (LOPD) afecta a las personas y empresas en España. Describe los conceptos clave de la ley como datos personales, ficheros, tratamiento de datos y las personas involucradas. También resume los principios de protección de datos, los derechos de los individuos sobre sus datos y las obligaciones de los responsables de ficheros de datos. Finalmente, ofrece un esquema para la implementación de la LOPD de acuerdo con sus requisitos.
Formato Presentacion FALTAS ACADEMICAS Y DISCIPLINARIAS SENA V3 (1).pptx
Ley Orgánica de Protección de Datos (LOPD)
1. ¿Cómo nos afecta la
Ley Orgánica de
Protección de Datos
(LOPD)?
V&H Enginyers Consultors SCCL 18 de marzo de 2011
Passatge El Miró 7 08304 Mataró
tel. 93.757.48.24
V&H Enginyers Consultors
www.vhec.net Núria Ribas nuria@vhec.net
1
2. Índice presentación
• Ley Orgánica 15/1999, de Protección de Datos
• Conceptos
• Principios de la protección de datos
• Derechos y acciones por parte del interesado
• Obligaciones de los Responsables de los ficheros
• Agencia Española de Protección de Datos
• Incumplimiento de la Ley
• Esquema implantación LOPD
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
2
3. Ley Orgánica 15/1999, de Protección de Datos
Objeto:
La protección de las libertades públicas y los
derechos fundamentales de las personas físicas,
especialmente el honor y la intimidad personal y
familiar, en relación con el tratamiento de datos de
carácter personal.
Ámbito de aplicación:
Se aplica a los datos de carácter personal registrados
en un soporte físico, que posibilite su tratamiento y
las haga susceptibles de utilización posterior por
entidades públicas o privadas, (quedan excluidos los
ficheros de datos mantenidos por personas físicas para uso
exclusivamente personal o doméstico).
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
3
4. Conceptos
Básicos
Datos personales:
Cualquier información relativa a una persona física
identificada o identificable, numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier otro
tipo, susceptible de ser recogida, registrada, tratada
o transmitida.
Fichero:
Conjunto organizado de datos de carácter personal,
cualquiera que sea la forma o modalidad de su
creación, conservación, organización o acceso.
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
4
5. Conceptos
Tratamiento de datos
Fuentes accesibles al público:
Se consideran el censo proporcional, los
repertorios telefónicos y las listas de personas
pertenecientes a colectivos profesionales, así
como los diarios y boletines oficiales y los medios
de comunicación.
Disociación:
Tratamiento de los datos de carácter personal de
forma que la información obtenida no pueda
asociarse a persona identificada o identificable.
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
5
6. Conceptos
Personas que intervienen
Responsable del fichero:
Persona física o jurídica, pública o privada, que decida sobre la
finalidad, uso y contenido de un fichero de datos de carácter
personal.
Responsable de seguridad:
Persona física designada formalmente por el Responsable del
fichero para coordinar y controlar las medidas de seguridad
aplicables a ficheros de datos de carácter personal.
Encargado del tratamiento:
Persona física o jurídica, pública o privada, que trata los datos
de carácter personal por cuenta del responsable del fichero.
Administrador del sistema:
Profesional técnico informático, encargado de administrar o
mantener el entorno operativo del fichero.
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
6
7. Conceptos
Ejemplo 1: Fichero de RRHH
Contrato A
Nota: también tengo proveedor B
Asociación
X Contrato B
Responsable Gestoría
del Fichero
Encargado del
Informático
Tratamiento
Proveedor de
servicios
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
7
8. Conceptos
Ejemplo 2: Fichero de Alumnos (cursos SOC)
Responsable del Fichero
Contrato A
Nota: también tengo proveedor B
Generalitat
Contrato B
Asociación
X
Con permiso
Encargado del
Cesión a terceros Tratamiento
Informático
(≠ finalidad)
Proveedor de
V&H Enginyers Consultors servicios
Núria Ribas nuria@vhec.net
8
9. Conceptos
Medidas de seguridad
Identificación:
Procedimiento de reconocimiento de la identidad de un
usuario.
Autenticación:
Procedimiento para comprobar la identidad de un usuario.
Control de acceso:
Mecanismo que permite acceder a datos personales previa
identificación del usuario.
Accesos autorizados:
Autorizaciones concedidas a un usuario identificado para
acceder a determinados datos personales.
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
9
10. Principios de la protección de datos
Los datos recogidos serán adecuados, pertinentes y no excesivos en
relación al ámbito y finalidad determinados, explícitos y legítimos
para los que se hayan recogido.
El tratamiento de los datos requiere el consentimiento inequívoco
de la persona a la que se refieren.
El responsable del fichero de datos está obligado a adoptar las
medidas técnicas y organizativas necesarias para garantizar la
seguridad de los datos y evitar su alteración, pérdida, y tratamiento
o acceso no autorizados.
Cualquier persona que intervenga en el tratamiento de los datos está
obligada al secreto profesional sobre las mismas.
Los datos personales sólo podrán comunicar a un tercero para el
cumplimiento de fines directamente relacionados con las funciones
de la entidad que las comunica y de la entidad que las recibe,
siempre con el consentimiento previo del interesado.
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
10
11. Derechos y acciones por parte del interesado
• Derecho de información en la
recogida de datos Consentimiento
informado
• Consentimiento del afectado
• Datos especialmente protegidos
• Derecho de consulta pública y gratuita en el Registro
general de protección de datos
• Derecho a indemnización
• Derechos ARCO
– Acceso (obtener información)
– Rectificación (modificar datos)
– Cancelación (no cancela los datos; los bloquea)
– Oposición (no tratamiento de los datos)
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
11
12. Derechos y acciones por parte del interesado
Consentimiento informado
Encargo
Cesión a terceros
Finalidad B Permiso
Contrato Finalidad A
Pidiendo Información
Agencia Persona que
permiso quiere hacer
de viajes
un crucero
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
12
13. Obligaciones del Responsable de los ficheros
1. Inscripción de los ficheros
2. Legitimación de los datos y respeto de los
derechos de los titulares
3. Elaboración del documento de seguridad
4. Aplicación de las medidas de seguridad
5. Deber de guardar secreto
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
13
14. Obligaciones del Responsable de los ficheros
Notificación y inscripción de los ficheros
Las personas físicas o entidades privadas que quieran crear
un fichero de datos personales deben hacer una notificación
de la existencia del fichero en la AEPD, mediante los
formularios oficiales publicados al efecto.
El Director de la AEPD a instancia del Registro General de
Protección de Datos, acordará la inscripción del fichero, o
bien otorgará un plazo para cumplimentar o rectificar el
formulario presentado.
El Registro notificará la inscripción al responsable del
fichero.
Mediante comunicación a la AEPD se pueden modificar o
cancelar las inscripciones de ficheros.
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
14
15. Obligaciones del Responsable de los ficheros
Legitimación de los datos
Las personas a las que se solicitan datos
personales deben ser informadas de:
a) la existencia del fichero de datos, la finalidad de
recogida de los datos y los destinatarios de la
información solicitada;
b) del carácter obligatorio o facultativo de la aportación
de los datos solicitados y de las consecuencias de la
obtención de las mismas o de la negativa a
facilitarlos;
c) la posibilidad de ejercer sus derechos ARCO;
d) la identidad del responsable del tratamiento de los
datos.
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
15
16. Agencia Española de Protección de Datos
Es una entidad de derecho público, con personalidad
jurídica propia y plena capacidad pública y privada,
que actúa con independencia de las administraciones
públicas en el ejercicio de sus funciones.
Funciones
• Velar por el cumplimiento de la legislación
• Controlar su aplicación
• Atender las peticiones y reclamaciones
• Ejercer la potestad sancionadora (autofinanciación)
• Potestad de inspección
En Cataluña hay la Autoridad Catalana de Protección de Datos
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
16
17. Incumplimiento de la Ley
Tipo de infracciones (Art. 44 LOPD)
Leves
Lleus de 900
600 a 40.000
60.000 €
Graves
Greus de 40.001
60.001 a 300.000 €
Muy graves
Molt greus de 300.001 a 600.000 €
• La prescripción de las faltas es de un año para las
leves, dos años para las graves y tres años para las
muy graves.
• El procedimiento sancionador (regulado en el RD
1720/2007) se inicia siempre por parte de la Agencia
de Protección de Datos, que puede actuar por
iniciativa propia o por denuncia de particulares
afectados.
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
17
18. Esquema de Protección de DCP
1. Obligatoria para todas las empresas
10. Y después mantenerlo implantado
LOPD 15/1999
RD Medidas seguridad 1720/07
2. Identificación y clasificación de ficheros:
BÁSICO, MEDIO y ALTO
9. Auditoria de seguridad
3. Inscripción de ficheros
IMPLANTACIÓN
8. Formación interna
LOPD
4. Análisis de la situación actual
C o n t e n id o d e l M a n u a l /
D S .0 0 .0 0
D o c u m e n t o d e S e g u r id a d
Ín d i c e F e c h a : H o ja : 1 / 1
C ó d ig o T ip o d o c . N o m b re d e l d o c u m e n to R e v . F e c h a
D S . 0 1 .0 0 In t ro d u c c ió n y c l a s i fi c a c i ó n d e l fi c h e r o 0
D S . 0 1 .0 1 D e f in ic i o n e s 0
D S . 0 1 .0 2 Id e n t if ic a c ió n d e l R e s p o n s a b l e d e S e g u rid a d
D S . 0 1 .0 3 Id e n t if ic a c ió n d e l R e s p o n s a b l e d e l F ic h e ro
Id e n t if ic a c ió n d e l p e rs o n a l c o n a c c e s o a lo s d a t o s d e
D S . 0 1 .0 4 c a r á c te r p e rs o n a l
D S . 0 1 .0 5 F u n c io n e s y o b l ig a c io n e s d e l p e rs o n a l
E s tr u c t u r a d e l fi c h e r o , d e s c r i p c i ó n d e l s i s te m a d e
D S . 0 1 .0 6 in f o rm a c i ó n y s e r v ic io s d o n d e s e p u e d e n e j e rc it a r lo s
d e re c h o s d e l in t e r e s a d o
D S .0 2 .0 0 Á m b i t o d e a p l i c a c i ó n d e l D o c u m e n to 0
D S .0 2 .0 1 In v e n t a r io ( H a rd w a r e y u b ic a c io n e s )
D S .0 2 .0 2 U b ic a c ió n d e l M a t e ria l In v e n t a r ia d o
D S .0 2 .0 3 In v e n t a r io S o ftw a re d e d e s a r ro llo in t e rn o 0
D S .0 2 .0 4 In v e n t a r io S o ftw a re d e d e s a r ro llo e x te r n o 0
D S .0 2 .0 5 In v e n t a r io S o ftw a re C o m e rc ia l
D S .0 2 .0 6 In v e n t a r io d e B a s e s d e D a to s
D S .0 2 .0 7 D e s c rip c i ó n d e l S i s te m a d e I n f o r m a c i ó n
D S .0 2 .0 8 P re s t a c ió n d e S e rv ic io s
D S .0 3 .0 0 M e d id a s , N o r m a s , P ro c e d im ie n t o s , R e g la s y E s tá n d a re s
P o l í ti c a d e S e g u r i d a d G e n e r a l d e S e g u r i d a d d e l a
D S . 0 3 .0 1 in f o rm a c i ó n
P o l í ti c a d e S e g u r i d a d d e P r o t e c c i ó n d e D a t o s d e c a r á c t e r
D S . 0 3 .0 2 p e rs o n a l
D S . 0 3 .0 3 C la s if ic a c i ó n d e la in f o rm a c ió n
D S . 0 3 .0 4 In f o rm a c i ó n a lo s e m p le a d o s
D S . 0 3 .0 5 P ro c e d im ie n t o d e I d e n ti f i c a c i ó n y A u t e n t ic a c ió n
D S . 0 3 .0 6 R e g i s tr o s d e A c c e s o s
D s .0 3 . 0 7 P ro c e d im ie n t o d e p u e s ta a l d ía d e l D o c u m e n to
D S . 0 3 .0 8 P e rs o n a l A d m in is t ra d o r d e A c c e s o s
D S . 0 3 .0 9 P ro c e d im ie n t o d e G e s ti ó n e In v e n t a ri o d e S o p o rte s
D S . 0 3 .1 0 P ro c e d im ie n t o s d e D e s e c h o d e S o p o rte s
P ro c e d im ie n t o d e n o t if ic a c ió n , G e s t ió n y R e s p u e s t a a n t e
D S . 0 3 .1 1 la s in c id e n c i a s
D S . 0 3 .1 3 P r o c e d i m i e n t o d e l c o n tr o l d e l c u m p l i m i e n to
D S . 0 3 .1 4 P ro c e d im ie n t o d e a u d i to r i a s d e l S i s t e m a
D S . 0 3 .1 5 P ro c e d im ie n t o d e C o n tro l d e A c c e s o s F ís ic o s
D S . 0 3 .1 6 P e rs o n a l A u t o r iz a d o A c c e s o F ís ic o
D S . 0 3 .1 7 P ro c e d im ie n t o d e C o p ia s d e R e s p a ld o
D S . 0 3 .1 8 P ro c e d im ie n t o d e R e c u p e ra c ió n
D S . 0 3 .2 0 P ro c e d im ie n t o d e P ru e b a s c o n d a t o s re a le s
P ro c e d im ie n t o d e G e s ti ó n y C o n tr o l d e n o m b r e d e u s u a rio
D S . 0 3 .2 1
7. Ajustes en la seguridad de los
y c la v e s
sistemas, aprobación definitiva del 5. Elaboración del borrador del
manual de seguridad, por parte de la 6. Elaboración de formularios: manual de seguridad según NIVEL
propia empresa Legitimación, Outsourcing, Derechos
afectados
V&H Enginyers Consultors
Núria Ribas nuria@vhec.net
18