ECIJA es una Firma que fusiona Derecho y Tecnología.

MBA: Protección de datos
ECIJA - Firma líder en Servicios Legales y de Seguridad de la Información MBA: Protección de datos 29 y 30 de septiembre de 2009 Carlos A. Sáiz Peña Fco. Javier Carbayo Vázquez Esmeralda Saracibar Serradilla Nathaly Rey Arenas Madrid, 29 y 30 de septiembre de 2009 Para más información: Tel

Sobre ECIJA - Firma líder en Servicios Legales y de Seguridad de la Información
ECIJA es una Firma que fusiona Derecho y Tecnología. En ECIJA somos expertos en la prestación de servicios legales en los sectores de TMT (Tecnología, Media y Telecomunicaciones) y la primera Firma especializada en Seguridad de la Información. En la actualidad contamos con más de 250 profesionales. Más de la mitad de las empresas del IBEX 35 han depositado su confianza en los servicios y soluciones integrales de ECIJA. La trayectoria de ECIJA en estos ámbitos ha sido reconocida año tras año por los más prestigiosos directorios y rankings nacionales e internacionales: Expansión, CHAMBERS & PARTNERS, LEGAL 500.

Nuestra Red Internacional
Red Internacional de ECIJA Nuestra Red Internacional El liderazgo de ECIJA a nivel nacional la ha lanzado a la apertura de nuevas oficinas internacionales, estando presente directamente en EEUU y Latinoamérica con la apertura en 2008 de Miami y en las capitales más relevantes del mundo a través de su red estratégica internacional

ECIJA – Reconocimientos
Chambers Europe 2008/ 2009 Hugo Ecija named best Media Lawyer Chambers Europe 2007/ 2008 Leaders in TMT: Media Chambers Global 2008 Leaders in Intellectual Property in Spain The Legal / 2009 Top Tier in TMT and recommended in IP, Corporate and Real Estate The Legal EXPANSIÓN Top Tier in TMT Recommended in IP Corporate, Litigation and Real Estate Ranked among the top 10 Spanish law firms LA GACETA European Legal Experts 2008 Ranked among the top 15 Spanish law firms Leaders in Corporate & Commercial and IT & Telecom Chambers Global 2007 Leaders in TMT in Spain Iberian Lawyer Top 40 under 40 Awards 2007 Hugo and Álvaro Écija are selected among the Top 40 lawyers under 40 in the Iberian Market

ECIJA – Nuestros Clientes

ECIJA – Credenciales "Llevamos depositando nuestra confianza en ECIJA desde hace seis años. Siempre nos ha impresionado la alta calidad de los servicios jurídicos que recibimos". Mar Sánchez, Responsable de Proyectos de BT "ECIJA y su grupo de profesionales técnicos y jurídicos han sido responsables tanto de los servicios de consultoría como de la implantación de la herramienta software DP Server, destinada a facilitar el control y la gestión de todos los procedimientos relativos a la LOPD en más de 300 entidades del Grupo FCC". Gianluca D'Antonio, Director de Seguridad de la Información del Grupo FCC "Siempre hemos encontrado una disposición máxima por parte de todos los integrantes del despacho, con un altísimo nivel de calidad en la asesoría recibida, siendo nuestro índice de satisfacción excelente". Alejandro de Simón, Asesoría Jurídica de Lilly "Como empresa perteneciente a un medio de comunicación, sabemos que debemos innovar y adaptarnos a los nuevos gustos y necesidades de los espectadores, dándoles algún valor diferencial sobre la competencia. Necesitábamos abogados que nos acompañasen y apoyasen en la andadura garantizando que siempre cumplimos los marcos jurídicos correspondientes. Desde hace años confiamos en ECIJA para esto y no sólo nos han ayudado, sino que hemos conseguido establecer nueva jurisprudencia trabajando en los primeros casos de España de uso de cámara oculta". Melchor Miralles, Director General del Mundo TV

ECIJA – Servicios Legales
ÁREAS JURÍDICAS ÁREAS SECTORIALES Corporate y Mercantil Fusiones y Adquisiciones Media y Entretenimiento Propiedad Intelectual e Industrial Procesal y Arbitraje Protección de Datos Público - Regulatorio Laboral Fiscal Tecnología, Media y Telecomunicaciones IT Compliance Finanzas y Seguros Farmacia, Seguros y Biotecnología Deporte y Entretenimiento Energías Renovables Inmobiliario y Turismo Private Equity Fundaciones

ECIJA | Firma líder en Servicios Legales y de Seguridad de la Información
"Los problemas de seguridad de la información requieren con frecuencia soluciones que van más allá de lo meramente técnico y exigen una visión más amplia. ECIJA destaca por su capacidad para integrar visiones complejas que incluyen tanto aspectos técnicos como legales y jurídicos, así como su entorno de aplicación adecuado." ECIJA | CONSULTING & SECURITY es la primera Firma especializada en Seguridad de la Información del mercado español. En ECIJA | CONSULTING & SECURITY somos especialistas en servicios de Seguridad Gestionada, Certificación Electrónica, Gestión de Seguridad de la Información, Hacking Ético, Fuga de Información, Antifraude y Abuso de Marca, Compliance (Cumplimiento normativo) y Soluciones de Compliance para entidades públicas y privadas. ECIJA | CONSULTING & SECURITY trabaja con las últimas tecnologías en gestión de seguridad de las TIC, y forma equipos multidisciplinares de profesionales con un perfil técnico-jurídico altamente cualificado para ofrecer un servicio integral único adaptado a cada cliente.

ECIJA | eAdministración
Soluciones: ECIJA |Compliance – Herramientas para el Cumplimiento Normativo ECIJA | PCN ECIJA | SGSI ECIJA | LISI La herramienta para la Gestión de la Continuidad de Negocio. La aplicación que realizará un Análisis de los Riesgos que afectan a los Activos de su Empresa, así como una posterior Gestión de los mismos. Es la Solución integral de validación, firma electrónica, vía Internet y móvil, y custodia de documentos basada en claves públicas. ECIJA | eAdministración ECIJA | DPServer ECIJA | MiFID La herramienta que permite a las Administraciones Públicas la atención al ciudadano por vía telemática. La herramienta de Software para la adecuación a la LOPD dirigida a grandes organizaciones públicas y privadas. Es la herramienta de gestión para que las empresas de inversión se adapten a la normativa MiFID.

Seguridad de la Información Normativa aplicable
ÍNDICE Seguridad de la Información Normativa aplicable ¿Por qué es importante cumplir la LOPD? Conceptos, Principios y Obligaciones Ciclo de Vida del Dato Reglamento de desarrollo de la LOPD Proceso de adecuación al Reglamento de desarrollo de la LOPD Fichero. Creación, propiedad e inventario Cómo afecta la LOPD en una empresa Las Medidas de Seguridad La Auditoría LOPD Los derechos A.R.C.O. Autoridades de Control Inspección por la Autoridad de Control Concienciación del personal Especial referencia: Videovigilancia Normativa relacionada | | | |

1. SEGURIDAD DE LA INFORMACIÓN

1. Seguridad de la Información
SEGURIDAD DE LA INFORMACIÓN COMO MECANISMO DE PROTECCIÓN DE ACTIVOS ESTRATÉGICOS: Las necesidades de una Entidad en materia de Buen Gobierno Corporativo, afectan a todos los elementos, tangibles e intangibles, que se aplican al desarrollo de su actividad. Necesidad de un adecuado alineamiento de los elementos, tangibles e intangibles, entre sí y de los mismos, respecto a Buen Gobierno Corporativo. Seguridad de la Información -> alineamiento con los Procesos de Negocio de la Entidad, colaborar y responsabilizarse de la consecución de los objetivos sobre Buen Gobierno Corporativo, así como tener en cuenta la seguridad física como actividad crítica para los procesos de negocio. B) EL PROCESO DE NEGOCIO SE ENCUENTRA AFECTADO POR LA FALTA DE SEGURIDAD: La protección de los activos intangibles de información, de la imagen y de la reputación de una Entidad, afecta al grado de protección que se procure a los stakeholders (clientes, accionistas, empleados, órganos reguladores y proveedores). Necesidad -> invertir gran esfuerzo en materia de Seguridad de la Información y Gobierno de las Tecnologías de la Información, buscando el análisis y control de los riesgos asociados a su utilización y el cumplimiento de las normativas aplicables. La Seguridad de la Información -> la protección de los elementos intangibles de información necesarios para los Procesos de Negocio y de los intereses de los stakeholders. Necesidad de alineamiento con el Buen Gobierno Corporativo y la Responsabilidad Social Corporativa.

1. Seguridad de la Información

2. NORMATIVA APLICABLE

2. Normativa aplicable LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD). REGLAMENTO DE DESARROLLO DE LA LOPD (REAL DECRETO 1720/2007, ENTRADA EN VIGOR: 19 DE ABRIL) Actuaciones AEPD (resoluciones, instrucciones, recomendaciones, etc.) TODAS LAS Compañías TODAS LAS ÁREAS / DPTOS. Si hay DATOS PERSONALES LA EXPOSICIÓN NORMATIVA PUEDE SER MAYOR EN ALGUNOS DEPARTAMENTOS, PERO LA IMPORTANCIA DEL CUMPLIMIENTO LOPD ES COMÚN A TODOS ELLOS

2. Normativa aplicable Panorama Legislativo Básico
Instrucciones de la Agencia Española de Protección de Datos sobre diversas materias. Recomendaciones e Informes Jurídicos de la Agencia Española de Protección de Datos. Legislación sectorial.

2. Normativa aplicable Normativa relacionada
El cumplimiento de LOPD se está configurando cada vez más como una materia a gestionar y con el que convivir en el día a día dentro de la compañía. Cada vez más normativas afectan a LOPD: Seguros, sanidad, bancario, telecomunicaciones. Blanqueo de capitales Bancos de tejidos, datos genéticos, etc. Lucha contra la morosidad Retención de datos para la lucha contra el terrorismo Ley de Impulso a la Sociedad de la Información Administración Electrónica y Servicios de la Sociedad de la Información Cumplimientos normativos, controles financieros y protección de accionistas (Buen Gobierno, SOX, Basilea, etc.) Más estudios del WG art. 29 Directiva Cumplimientos legales en estándares de seguridad (27001, 27002, etc.) Etc.

3. ¿POR QUÉ ES IMPORTANTE CUMPLIR LA LOPD?

3. ¿Por qué es importante cumplir la LOPD?
Posibles repercusiones derivadas del incumplimiento de la LOPD y normativa de desarrollo: Aparición en prensa económica Daño a la imagen corporativa Desconfianza en el mercado por parte de clientes Desconfianza en las medidas de seguridad de la entidad Denuncias, inspecciones de la Agencia Española de Protección de Datos (AEPD) y de las Autoridades de Control Sanciones económicas elevadas de hasta euros NOTA: AEPD y Autoridades de Control: Agencia de Protección de Datos de la Comunidad de Madrid Agencia Vasca de Protección de Datos Agencia Catalana de Protección de Datos

3. ¿Por qué es importante cumplir la LOPD?

4. CONCEPTOS, PRINCIPIOS Y OBLIGACIONES

Identifican o hacen identificable
Nombre y Apellidos DNI o SS Identifican o hacen identificable Datos personales Económicos Bienes Aplicación no específica Aplicaciones específicas Fichero Estructurado Extracciones Ofimática Recoger Tratar Tratamiento Todo lo que se haga Entregar Destruir Modificar

4. Conceptos, principios y obligaciones
Conceptos Básicos (I) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. Datos especialmente protegidos: ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Fichero: conjunto organizado de datos personales, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso, con independencia de la aplicación informática utilizada (Access, Oracle, SQL o cualquier otra que no sea típicamente una base de datos, p.e. Word, así como fichero en papel).

Conceptos Básicos (II) Responsable del Fichero: persona física o jurídica, pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Otros Conceptos Encargado del tratamiento: persona física o jurídica, autoridad pública servicio o cualquier otro organismo que, sólo o conjuntamente, trate datos personales por cuenta del Responsable del Fichero. Fuente de acceso público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación. Responsable de Seguridad: Persona o personas a quienes el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Sistemas de información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Calidad de los datos (art. 4 LOPD). - Adecuados, pertinentes, no excesivos y actuales. - Cancelar datos cuando dejen de ser necesarios o pertinentes para la finalidad para la cual hubiesen sido recabados Información en la recogida (art. 5 LOPD). - Informar al titular de los datos, en el momento de la recogida, de diversos aspectos: de la existencia de un fichero, la finalidad y los destinatarios de las consecuencias de la obtención de los datos o la negativa a suministrarlos de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición de la identidad y dirección del responsable del tratamiento - No titular de los datos -> Informar al titular de los datos en el plazo de tres meses

Consentimiento del afectado (art. 6 LOPD). Es indispensable el consentimiento inequívoco del afectado: Expreso/Tácito Excepciones: Ejercicio de las funciones propias de las Administraciones Públicas. Partes de un Contrato y sean necesarios para su cumplimiento o mantenimiento. Proteger un interés vital del interesado (prevención y diagnóstico médicos, etc.). Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo.

Consentimiento para el tratamiento de los datos de menores (art. 13 RLOPD). ESPECIALIDADES Mayores de 14 años: Solo es necesario su consentimiento, salvo que una LEY pida asistencia de titulares, patria potestad o tutela. Menores de 14 años: En todo caso consentimiento de padres o tutores. SIEMPRE Lenguaje claro e informar expresamente de lo recogido en el art. 13 RLOPD. Nunca recabar datos sobre los demás miembros de la familia (actividad profesional, información económica, etc.), salvo Identidad y dirección para solicitar consentimiento. Comprobar edad y autenticidad, en su caso, del consentimiento.

Datos especialmente protegidos: consentimiento expreso (origen racial, salud y vida sexual) o expreso y por escrito del interesado (ideología, afiliación sindical, religión y creencias), salvo: Prevención/Diagnóstico médico. Prestación asistencia sanitaria o tratamientos médicos. Gestión servicios sanitarios. Requisitos.

Regla general: SIEMPRE ES NECESARIO EL CONSENTIMIENTO
INFORMADO Y ACREDITABLE CLÁUSULAS DE PROTECCIÓN DE DATOS Determinan el alcance del tratamiento Firmadas? Siempre que sea posible Conservación Contrato de servicios o de otro tipo Normativa Sectorial, AAPP, etc. Excepciones: -> NECESARIO POR LEY -> RELACIÓN CONTRACTUAL

Deber de secreto (art. 10 LOPD). - Empleados internos vs. empleados externos. Ejercicio de derechos A.R.C.O. (art. 15 y ss. LOPD) - Derecho de acceso - Derecho de rectificación y cancelación - Derecho de oposición Inscripción de ficheros (art. 25 y ss. LOPD) - Deber de la Entidad. - Todos los ficheros y tratamientos. - Sistema NOTA: Especificaciones para desarrolladores.

MUCHAS SANCIONES PROVIENEN DEL INCUMPLIMIENTO DE ESTE PRECEPTO
4. Conceptos, principios y obligaciones Cesión de datos (art. 11 LOPD). CEDENTE CESIONARIO EMPRESA: RR.HH. HACIENDA PÚBLICA/S. Social Requisitos: Necesidad de consentimiento. Excepciones. Cesionario: Inscripción del Fichero Recomendación: adopción del Contrato Ej.: cesión a Empresas del Grupo MUCHAS SANCIONES PROVIENEN DEL INCUMPLIMIENTO DE ESTE PRECEPTO

Encargo de tratamiento (art. 12 LOPD) Encargado Tratamiento Responsable Fichero Prestación de Servicios por el 3º al Responsable No necesidad de consentimiento No deber de Información por Encargado No inscripción del fichero por Encargado Sí notificación del Encargo de Tratamiento en el RGPD cuando el Responsable inscriba el fichero Contrato escrito obligatorio Subcontrataciones.

Contratos de prestación de servicios SIN acceso a datos. NO son encargos de tratamiento Prohibición expresa de acceso a datos personales. Obligación de secreto respecto a los datos personales que se hubieran podido conocer. ¿Y si hay duda sobre si accede o no a datos personales? Solución más rigurosa: encargo de tratamiento

PROVEEDORES DE DIRECCIONES OTROS TERCEROS POR NORMATIVA SECTORIAL
NUEVAS EMPRESAS EMPRESAS DEL GRUPO cesión encargo cesión COMERCIALES encargo ENTIDADES FINANCIERAS (PAGOS) cesión PROVEEDORES DE DIRECCIONES ADMINISTRACIONES PÚBLICAS cesión cesión FORMACIÓN OTROS TERCEROS POR NORMATIVA SECTORIAL EMPRESA cesión encargo cesión SERVICIOS EXTERNOS DE APOYO SERV. INFO. EMPRESAS encargo cesión EMPRESAS EN OTROS PAÍSES OUTSOURCING encargo cesión

Transferencia Internacional (art. 33 y 34 LOPD) No pueden realizarse transferencias temporales, ni definitivas de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable al español sin autorización del Director de la Agencia Española de Protección de Datos, siempre que se obtengan garantías adecuadas para la transferencia. Excepciones: a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios. d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica. e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

Transferencia Internacional (art. 33 y 34 LOPD) Excepciones: f) Cuando la transferencia sea necesaria para la ejecución de un Contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público (solicitada por la Administración Fiscal o Aduanera). i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo. k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

5. CICLO DE VIDA DEL DATO

5. Ciclo de vida del dato Entrega a 3ª empresa con fines de publicidad
Externalización de servicios informáticos (hosting, mantenimiento) Almacenamiento en un fichero Recogida de datos a través de formularios Solicitud de información sobre los datos que posee la empresa Solicitud de Borrado de los datos Solicitud de Modificación de los datos

5. Ciclo de vida del dato Recogida Tratamiento Transmisión
La normativa de protección de datos tiene incidencia durante toda la vida del dato cuando es tratado por una Entidad Deber de información Consentimiento del afectado Principio de calidad Recogida Finalidad determinada Medidas de seguridad Respeto derechos de acceso, rectificación, cancelación y oposición Tratamiento Regulación contractual: encargo, cesión, transferencia internacional, etc. Disociación Medidas de Seguridad en el envío Transmisión

Cumplimiento normativo SISTEMAS DE INFORMACIÓN
5. Ciclo de vida del dato NEGOCIO Cumplimiento normativo Cumplimiento LOPD SISTEMAS DE INFORMACIÓN ¿CÓMO? Normas, políticas, procedimientos, etc. Identificación proactiva de requerimientos Comprobación de cumplimiento: Controles periódicos y Auditoría (interna y externa)

6. REGLAMENTO DE DESARROLLO DE LA LOPD

6. Reglamento de desarrollo de la LOPD
EN VIGOR A PARTIR DEL 19 DE ABRIL DE 2008 Primer desarrollo legislativo de la LOPD. Contiene desarrollos jurídicos, técnicos, organizativos y procedimentales. Tratamientos automatizados y tratamientos no automatizados. Publicación: 19 de enero de 2008 y entrada en vigor: 19 de abril de 2008. Disposición Derogatoria Única: Excepto para medidas de seguridad: - 12, 18 ó 24 meses para ficheros no automatizados. - 12 a 18 meses para ficheros automatizados. RD 994/99, desarrollo de la LORTAD RD 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la LORTAD

6. Reglamento de desarrollo de la LOPD – Aspectos legales
Tratamiento de datos: se amplía el concepto, incluyéndose la “consulta”, “utilización” y “modificación” de datos. Fichero no automatizado: todo conjunto de datos personales organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.

Datos de contacto: No estarán sujetos al Reglamento los ficheros que se limiten a incorporar los datos de personas físicas que presten sus servicios en empresas, cuando estos datos sean únicamente nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y fax y se especifica que sean datos profesionales. La finalidad del fichero ha de ser el tratamiento de datos de empresas para la gestión de la relación con estás. El tratamiento del dato de la persona de contacto, si se realiza, ha de ser meramente accesorio o incidental, siendo el contacto exclusivamente el medio utilizado para dirigirse a la persona jurídica. Datos de empresarios individuales/autónomos: Atendiendo a los Informes y Resoluciones de la Agencia, los criterios a seguir para verificar que no resultaría de aplicación la LOPD a los empresarios individuales son: Que estén organizados bajo la forma de empresa Que ejerzan una actividad mercantil diferenciada de su propia actividad privada Que sus datos aparezcan ligados a una actividad comercial o mercantil Que sus datos sean tratados con una finalidad empresarial, es decir, que se recaben datos sobre la empresa y no sobre el comerciante que la ha constituido Que el uso de sus datos se haga sólo para actividades empresariales

Obtención del Consentimiento de interesados No se presume la existencia del consentimiento del interesado. Concreción de solicitud tratamiento: Tratamiento concreto. Finalidad determinada. Cesión de datos: finalidad inequívoca y tipo de actividad del cesionario -> consentimiento nulo. Prueba de cumplimiento deber de información: medio acreditable y conservación -> Responsable del Tratamiento. Consentimiento para finalidades no relacionadas con objeto del Contrato -> manifestación expresa de negativa al tratamiento. Medio sencillo y gratuito: revocación del consentimiento (p.e. Envío prefranqueado).

Deber de Información Se deberá poder acreditar el cumplimiento. Se deberá conservar el soporte en que conste el cumplimiento del deber de informar. Se podrán utilizar medios informáticos o telemáticos.

Tratamiento para finalidad DISTINTA del mantenimiento, desarrollo o control de la relación contractual Se debe permitir la negativa al tratamiento o comunicación de datos: casilla (no marcada) en la cláusula de protección de datos procedimiento equivalente ¿Por ejemplo? Servicios de valor añadido Envío de información comercial Comunicación a terceras Empresas para que puedan ofrecer productos o servicios en condiciones ventajosas ¿ Ayudar al destinatario para evitar que las complete por defecto?

Encargado del tratamiento Deber de diligencia en la elección. Exigencia al Encargado del Tratamiento del cumplimiento de medidas de seguridad. Regulación de la subcontratación. Ejercicio de derechos A.R.C.O. ante el Encargado del Tratamiento. Elaborar un Documento de Seguridad sobre ficheros objeto de tratamiento. Posibilidad de conservar datos bloqueados.

Derechos de los afectados
6. Reglamento de desarrollo de la LOPD – Aspectos legales Derechos de los afectados Medio sencillo para su ejercicio, que no genere ingresos para el Responsable del Fichero ni coste para el afectado. Facilitar un medio de interlocución telemática (LISI). Regulación expresa del derecho de Oposición. Días hábiles para el cómputo de los plazos. Concienciación empleados.

Publicidad y prospección comercial Responsabilidad del tratamiento cuando se contrata a terceros la realización de campañas publicitarias: Depuración de datos personales cuando dos o más responsables crucen sus ficheros, el tratamiento así realizado constituirá una comunicación de datos. a) Cuando los parámetros identificativos de los destinatarios de la campaña, sean fijados por la Entidad que contrate la campaña, ésta será responsable del tratamiento de los datos. b) Cuando los parámetros fueran determinados únicamente por la Entidad o Entidades contratadas, dichas entidades serán las responsable del tratamiento. c) Cuando en la determinación de los parámetros intervengan ambas Entidades, serán ambas, responsables del tratamiento.

Publicidad y prospección comercial
6. Reglamento de desarrollo de la LOPD – Aspectos legales Publicidad y prospección comercial Obligación de la Entidad que externalice la actividad de comprobación de recogida de datos según la LOPD -> p.e. Contrato. Creación de ficheros comunes de exclusión del envío de comunicaciones comerciales (Listas Robinson). Deber de consulta previa antes de envíos comerciales.

Listas Robinson Art. 49 RLOPD, ficheros comunes para evitar el envío de comunicaciones comerciales. Empresas dedicadas a actividades de publicidad o prospección comercial: consultar antes de actuar. (FECEMD, Federación de comercio electrónico y marketing directo). Apoyado por la AEPD. Gratis para el ciudadano y coste para la empresa que quiera consultar.

Solvencia patrimonial y crédito
6. Reglamento de desarrollo de la LOPD – Aspectos legales Solvencia patrimonial y crédito Tratamiento -> art. 29 LOPD. Ejercicio de derechos A.R.C.O.: Petición dirigida al Responsable del Fichero -> obligación de satisfacción de los derechos. Petición dirigida a Entidades a las que se preste el servicio -> comunicar al afectado aquellos datos que les hayan sido comunicados y facilitar la identidad del Responsable del Fichero. Datos deberán conservarse en ficheros creados con la exclusiva finalidad de facilitar información crediticia del afectado.

6. Reglamento de desarrollo de la LOPD – Aspectos legales Solvencia patrimonial y crédito Requisitos para la inclusión (todos): Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros. No hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto, si aquélla fuera de vencimiento periódico. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

6. Reglamento de desarrollo de la LOPD – Aspectos legales Solvencia patrimonial y crédito El acreedor deberá informar al deudor, en el momento en que se celebre el Contrato y, en todo caso, al tiempo de efectuar el requerimiento, que en caso de no producirse el pago, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias. Responsable del fichero común deberá notificar a los interesados, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos, informándole asimismo de la posibilidad de ejercitar sus derechos A.R.C.O. Una notificación por cada deuda concreta y determinada. Notificación deberá efectuarse a través de un medio fiable, auditable e independiente de la entidad notificante -> acreditación del envío. Necesidad de conocer si la notificación ha sido devuelta -> no podrá proceder al tratamiento de los datos.

Transferencia Internacional Modificación de criterio: Comunicación de datos fuera de España Vs. Comunicación de datos fuera Espacio Económico Europeo. Tipos: A) Estados que SÍ proporcionan adecuado nivel de protección -> No autorización del Director de la AEPD. B) Estados que NO proporcionan nivel adecuado de protección -> Sí autorización del Director de la AEPD.

6. Reglamento de desarrollo de la LOPD – Aspectos técnicos
Cuestiones generales Documento de Seguridad y Encargados del Tratamiento: Responsable del Fichero facilite el acceso a los datos a un Encargado de Tratamiento que preste sus servicios en los locales del Responsable del Fichero -> Documento de Seguridad del Responsable del Fichero. Cuando dicho acceso sea remoto -> compromiso del Encargado del Tratamiento al cumplimiento de las medidas de seguridad previstas en el Documento de Seguridad del Responsable del Fichero. Si servicio fuera prestado por el Encargado del Tratamiento en sus propios locales -> obligación de elaborar un Documento de Seguridad o completar el propio, identificando el fichero, el responsable y las medidas de seguridad a implantar - > externalización de la gestión del Documento de Seguridad.

Cuestiones generales Modificación de niveles de seguridad y tipologías de datos. Rebaja nivel de seguridad de ficheros con datos sensibles. Medidas de seguridad respecto de ficheros en soporte papel (no automatizados).

Revisión de los niveles de seguridad de los ficheros (I) Nivel Básico. Nivel Medio: Fichero solvencia patrimonial y crédito. Ficheros responsabilidad de la Administración Tributaria. Ficheros responsabilidad de Entidades financieras. Ficheros responsabilidad de Entidades Gestoras y Servicios Comunes de la Seguridad Social. Ficheros de Mutuas de accidentes de trabajo y enfermedades profesionales. Ficheros que permitan hacer evaluación de la personalidad y comportamiento.

Revisión de los niveles de seguridad de los ficheros (II) Nivel Alto atenuado (nivel básico + nivel medio + registro de accesos). Nivel Alto: Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Ficheros con fines policiales. Ficheros con datos sobre actos de violencia de género. Nivel básico siempre que: Única finalidad -> transferencia dineraria a Entidades financieras Ficheros no automatizados que contengan dichos datos de forma accesoria (p.e. Expedientes de personal) Salud -> grado o declaración de discapacidad para cumplimiento deberes públicos (p.e. IRPF)

Ficheros automatizados
6. Reglamento de desarrollo de la LOPD – Aspectos técnicos Ficheros automatizados Verificación semestral de la correcta realización de copias de respaldo (nivel básico). Autorización para salida de soportes con datos personales adjuntos en correos electrónicos (nivel básico). Posibilidad de excepcionar la gestión de entrada y salida de soportes por causa motivada (nivel básico). Auditorías extraordinarias (nivel medio). Cifrado de dispositivos portátiles cuando estén fuera de las instalaciones (nivel alto).

6. Reglamento de desarrollo de la LOPD - Comparativa

6.Reglamento de desarrollo de la LOPD – Fich. NO automatizados
Ficheros no automatizados Nivel Básico Criterios de archivo Dispositivos de almacenamiento Custodia de soportes Nivel Medio Responsable de Seguridad Auditorías Nivel Alto Almacenamiento de la información Copia o reproducción Accesos a documentación Traslado de documentación

FICHEROS NO AUTOMATIZADOS Estudio para su inventariado Revisar si se encuentran o no declarados ante la AEPD Implantar las medidas de seguridad aplicables

MEDIDAS DE SEGURIDAD COMUNES A TODO TIPO DE FICHEROS DOCUMENTO DE SEGURIDAD SE APLICARÁN LAS MEDIDAS DE CARÁCTER BÁSICO DE LOS FICHEROS AUTOMATIZADOS, EN LO RELATIVO A: - Funciones y Obligaciones del Personal - Registro de Incidencias - Control de acceso - Gestión de Soportes

NIVEL BÁSICO MEDIDAS DE SEGURIDAD COMUNES CRITERIOS DE ARCHIVO Criterios de archivo previstos en su legislación Si no hay norma aplicable, se confeccionará un procedimiento de archivo Garantizar conservación, localización y consulta Posibilitar el ejercicio de los derechos ARCO DISPOSITIVOS DE ALMACENAMIENTO Mecanismos que obstaculicen su apertura o impidan el acceso a personas no autorizadas CUSTODIA DE SOPORTES Tramitación previa o posterior a su archivo, la persona al cargo debe impedir el acceso a persona no autorizada

NIVEL MEDIO RESPONSABLE DE SEGURIDAD Designación de uno o varios Responsables de Seguridad. ¿Mismo Responsable de Seguridad para ficheros automatizados y ficheros no automatizados? AUDITORÍA Auditoría, interna o externa, cada dos años.

NIVEL ALTO ALMACENAMIENTO DE LA INFORMACIÓN Armarios, archivadores en áreas de acceso protegido con puertas con sistema de apertura de llave o dispositivo equivalente COPIA O REPRODUCCIÓN Copias bajo control de personal autorizado Destrucción de las copias desechadas ACCESO A LA DOCUMENTACIÓN Personal autorizado Mecanismos de identificación Registro de accesos TRASLADO DE DOCUMENTACIÓN Adoptar medidas necesarias para impedir acceso o manipulación de la información

6. Reglamento de desarrollo de la LOPD – Aspectos prácticos
Informe 0672/2008 Necesidad de copia de respaldo en ficheros de videovigilancia. Art 94.2: copias de respaldo semanales. Art 5.1.b): definición de cancelación. Art 5.2.e): soporte que permita recuperación. Informe de la AEPD 0648/2008. Prevención de riesgos laborales. Art 18.1: acreditar cumplimiento de deber de información.

Informe 0672/2008 Necesidad de copia de respaldo en ficheros de videovigilancia. Art 94.2: copias de respaldo semanales. Art 5.1.b): definición de cancelación. Art 5.2.e): soporte que permita recuperación. Informe 0648/2008. Prevención de riesgos laborales. Art 18.1: acreditar cumplimiento de deber de información. Informe de la 006/2009. Videovigilancia en el trabajo. Informar debidamente al trabajador y que quede constancia de ello. Informar a los representantes de los trabajadores. Nunca utilizar estos datos para otros fines.

Llamadas telefónicas con fines comerciales: Inspección Sectorial de Oficio sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios. Derecho a no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello (art. 38 apartado 3 LGT y art. 69 RSU). Llamadas no automáticas: podrán efectuarse salvo las dirigidas a aquellos que hayan manifestado su deseo de no recibir dichas llamadas. (apartado 2 del art. 69 RSU). Llamadas aleatorias. No existe una prohibición legal expresa para la realización de llamadas comerciales a terminales móviles. (si está prohibido el “spam-sms”, art 21 LSSI si no existe solicitud, expresamente autorizadas o relación contractual previa).

Llamadas telefónicas con fines comerciales: Inspección Sectorial de Oficio sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios. Símbolo “U” en las guías telefónicas. Potestad sancionadora de la AEPD para estas infracciones (art 58 LGT) Régimen sancionador de la LSSI para llamadas telefónicas automáticas sin intervención humana con fines de venta directa, cuando el interesado no hubiera prestado su consentimiento previo e informado para ello LOPD sólo aplicable si la llamada comercial se efectúa a una línea telefónica IDENTIFICABLE para el promotor de la llamada Sentencia de 17 de septiembre de la Audiencia Nacioanl: sólo un número de teléfono móvil no es un DCP.

Llamadas telefónicas con fines comerciales: Inspección Sectorial de Oficio sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios. Mensajes comerciales y publicitarios a telefonía móvil. Art 21 LSSI. Prácticas “hit and run”. Listas blancas. Derechos ARCO, Problemas para darse de baja. Mensajes PREMIUM.

Llamadas telefónicas con fines comerciales: Inspección Sectorial de Oficio sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios. Recomendaciones a las compañías. Verificar listas Robinson. Verificar guías (“U”). Facilitar ejercicio de derechos. No utilizar datos de ex clientes para llamadas con fines comerciales sin su consentimiento. Inclusión del texto “PUBLI” en publicidad vía SMS.

Privacidad de datos personales y seguridad de la información en redes sociales (AEPD e INTECO). 8 millones de personas. 7 de cada 10 menores de 35 años. 43% de perfiles abiertos a todo el mundo (por defecto grado más alto de publicidad). Tres fases de riesgo: registrarse, al desarrollar su actividad en la red y al darse de baja del servicio. Indexación de perfiles: a la vista del mundo. Formularios muy amplios. Publicación de DCP de terceros sin consentimiento de estos (fotos).

Relativa facilidad para suplantar perfiles (instrucciones fáciles de encontrar en Google: hackear facebook, hackear msn, hackear tuenti): suplantación de ID.

Privacidad de datos personales y seguridad de la información en redes sociales (AEPD e INTECO). SW maligno. Cookies (trazabilidad de habitos de navegación). Menores: Sistemas ineficaces para verificar edad de usuarios. Propiedad intelectual: cesión de derechos expresa en los avisos legales en el más amplio espectro posible.

Privacidad de datos personales y seguridad de la información en redes sociales (AEPD e INTECO). Recomendaciones: Redacción de condiciones de uso y políticas de privacidad en lenguaje sencillo. Control de indexación de perfiles por parte de los buscadores. Cambio en la publicidad por defecto de los perfiles. Comprobación eficaz de la edad de los usuarios. Evitar suplantación. Sistemas que fomenten el uso de contraseñas seguras. No publicar demasiada información personal (datos que permitan la localización física).

SENTENCIAS 2008 AUDIENCIA NACIONAL Vulneración del deber de secreto mediante publicación de copia de un escrito en el tablón de Anuncios de un Ayuntamiento DESESTIMA el recurso contencioso administrativo. Infracción de lo dispuesto en el artículo 10 de la LOPD, lo que supone una infracción tipificada como leve en el art e) de la citada Ley Orgánica. Publicación de datos en intranet por un sindicato sin consentimiento del titular. Conflicto entre los derechos fundamentales a la protección de datos y la libertad sindical. Prevalencia de la libertad sindical. ESTIMA el recurso contencioso administrativo. Prevalece la libertad sindical.

Resoluciones AEPD: PS/00126/2009, instruido por la Agencia Española de Protección de Datos a la entidad MERCADONA, S.A. : sin carteles de videovigilancia. Infracción del artículo 5 en sus apartados 1, 2, 3 de la LOPD, tipificada como leve en el artículo 44.2 d) de dicha norma, una multa de € (mil euros). PS/00686/2008, instruido por la Agencia Española de Protección de Datos a la entidad ARSYS INTERNET, S.L. : acceso a datos. infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de (seis mil euros) € de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

7. PROCESO DE ADECUACIÓN AL REGLAMENTO DE DESARROLLO DE LA LOPD

Necesidad de un proceso de adecuación
7. Proceso de adecuación al Rgto desarrollo LOPD Necesidad de un proceso de adecuación

7. Proceso de adecuación al Rgto desarrollo LOPD

Revisión de los ficheros automatizados ya inscritos: recalificación de nivel por el tipo de datos que contiene verificar si existe también tratamiento no automatizado (mixto) 2. Revisión del ciclo de obtención de datos en la entidad: métodos de obtención y almacenamiento de prueba de haber informado revisión de cláusulas: cada finalidad no contractual debe ser de aceptación independiente métodos de control de cesiones realizadas

3. Revisión del tratamiento y ejercicio derechos A.R.C.O. en la entidad: Fines de publicidad: cambio de metodología, obligación de filtrar por lista Robinson. Actualización de Contratos de Encargo de Tratamiento con los prestadores de servicios: nuevas medidas, plazos de conservación, responsabilidades ante derechos A.R.C.O., subcontrataciones, etc. Revisión de transferencias internacionales y actualización conforme a requisitos nuevo reglamento. Adecuación de los procedimientos A.R.C.O. vigentes y labor de concienciación a empleados Establecimiento de sistema de cancelación (bloqueo antes de supresión). Solución para sistemas que no lo permiten.

4. Identificación ficheros y tratamientos no automatizados: Localización de ficheros y tratamientos no automatizados por áreas. Designación de responsables internos que custodian dicha información. Inscripción ante la AEPD de los ficheros no automatizados. 5. Medidas de Seguridad Implantación y/o mejora de medidas de seguridad en ficheros automatizados Implantación de las medidas de seguridad en ficheros no automatizados por prioridades y niveles (plazos diferentes) Elaboración de Documento/s de Seguridad que incluya las medidas de seguridad de ficheros automatizados y no automatizados Inclusión en el Comité de Seguridad LOPD a personas con responsabilidades en la seguridad de los ficheros no automatizados (responsables de archivo, responsables internos de ficheros, seguridad física, etc.)

8. FICHEROS. CREACIÓN, PROPIEDAD E INVENTARIO

8. Ficheros. Creación, propiedad e inventario
CONSIDERACIONES PREVIAS Fichero físico vs. fichero lógico. La agrupación de ficheros y el criterio AEPD. Tratamientos vs. aplicaciones.

8. Ficheros. Creación, propiedad e inventario
Creación de ficheros. Solicitud por escrito y autorizaciones. Plantillas de creación de ficheros. Problemática: los ficheros temporales. Propiedad. ¿Cómo estructurar la propiedad de los ficheros?. Aplicaciones, Departamentos, Empresas. Propiedad funcional vs. responsabilidad. Inventario de ficheros. Gestión del alta, modificación y cancelación.

9. CÓMO AFECTA LA LOPD EN UNA EMPRESA

Centro de att. al cliente Financiero y contabilidad
9. Cómo afecta la LOPD en una empresa Selección RRHH DPTOS. AFECTADOS Sistemas Prevención de Riesgos Compras y proveedores Marketing Centro de att. al cliente Financiero y contabilidad Seguridad

9. Cómo afecta la LOPD en una empresa
Gestión de plazos de respuesta derechos A.R.C.O. Gestión documental LOPD Constantes actualizaciones Documento Seguridad Gestión ficheros físicos/lógicos Concienciación departamental Cumplimiento de procedimientos Grupos de empresas Asunción de roles

Grupos de empresas (nacionales / multinacionales). Prestación de servicios centralizados. La cesión de datos intragrupo. Las transferencias internacionales. Estrategias comunes de cumplimiento: sinergias + eficiencias = ahorro de costes Fundaciones, Sociedades Profesionales Naturaleza y actividad de la entidad. Adaptación al modelo fundacional o de prestación de servicios. Cambios societarios. Traslación de los datos: consentimiento no, información sí Otras (muchas cuestiones a tener en cuenta): due dilligence, transferencia de sistemas de información, subrogación en encargos, etc.

Los servicios generales y la coordinación interdepartamental: ¿Qué son los servicios generales? En cada casa… ¿Existen los servicios generales a efectos LOPD? SI, con diferentes configuraciones, pero con ciertas notas comunes: Conocimiento transversal de la Compañía Capacidad de establecer requisitos sobre procesos horizontales y verticales Apoyo de la Dirección en su labor LOPD ¿Y si la coordinación queremos que sea interdepartamental? Lo más habitual es la fórmula de colaboración interpares con uno de ellos (rotatorio o fijo) como coordinador

Las Binding Corporate Rules (BCR´s): Grupo de trabajo del artículo 29 de la Directiva 95/46/CE. Alternativa para la transferencia internacional de datos de residentes comunitarios a terceros países que no garantizan un nivel de protección adecuado. Flexibilizar y Simplificar. Multinacional con férreo control sobre empresas del grupo + Política de protección de datos en vigor y adecuada = posibilidad de Transferencia internacional entre empresas del mismo grupo.

Las Binding Corporate Rules (BCR´s): Cláusula del tercero beneficiario: compromisos de la empresa y medidas en caso de incumplimiento. Vinculación “hacia dentro”. Compromiso público = cumplimiento. Problema: invocar ante tribunales de los distintos países miembro: Ejemplo: Alemania vs. España. Problema:¿Cuándo se entiende que una empresa se ha comprometido fehacientemente? Soluciones parciales: existiría una verdadera política de privacidad + primer contrato como fuente de las obligaciones al que se anexaría el código de conducta. Autocontrol, gestión responsable y confianza del regulador: reenvío al documento de trabajo número 12.

Coordinación de auditorias para reducción de costes: Vinculación entre auditorias LOPD y otras auditorías Calidad Cumplimiento normativo etc. Fórmulas de colaboración + creación de sinergias = ahorro de costes Matrices de requisitos comunes. Controles que cubran distintos requisitos Auditoría de controles

1O. LAS MEDIDAS DE SEGURIDAD

EN VIGOR HASTA EL 18 DE ABRIL DE 2008
10. Las medidas de seguridad EN VIGOR HASTA EL 18 DE ABRIL DE 2008 Cuestiones generales RD 994/1999 de 11 Junio: Reglamento de Medidas de Seguridad Desarrollo de la antigua Ley Orgánica 5/1992, de 29 de octubre (LORTAD). Sólo para ficheros automatizados. Determina los fines de seguridad a conseguir, no los medios ni la tecnología a utilizar (p.e. cifrado). Se “olvida” de los ficheros no automatizados.

FICHERO NO AUTOMATIZADO
10. Las medidas de seguridad FICHERO AUTOMATIZADO FICHERO NO AUTOMATIZADO TODOS LOS NIVELES Documento de Seguridad Delegación de autorizaciones Acceso a través de redes de comunicaciones Trabajo fuera de los locales de la Entidad Ficheros temporales NIVEL BÁSICO Funciones y obligaciones del personal Registro de incidencias Control de acceso Identificación y autenticación Gestión de soportes Copias de respaldo y recuperación NIVEL MEDIO Responsable de Seguridad Auditorías Reforzadas NIVEL ALTO Registro de accesos Telecomunicaciones Comunes con automatizados (funciones y obligaciones, incidencias, control de acceso y gestión de soportes) Criterios de archivo Dispositivos de almacenamiento Custodia de soportes Almacenamiento de la información Copia o reproducción Accesos a documentación Traslado de documentación

10. Las medidas de seguridad
¿Cuál es el papel que debe CUMPLIR EL PERSONAL DE LA ENTIDAD? Conocimiento de las responsabilidades recogidas en la normativa interna respecto a los activos de información. Asunción de funciones y obligaciones Cumplimiento de medidas de seguridad que se le transmitan. Nivel de cumplimiento adecuado: necesario para no poner en peligro el nivel de cumplimiento del conjunto de la Entidad. ¿Cuál es el papel que debe HACER CUMPLIR EL PERSONAL DE LA ENTIDAD? Asunción de la “cultura LOPD” de ALCAMPO por todo su personal. Homogeneización de las medidas y el nivel de cumplimiento. Control de cumplimiento que impacte en datos personales. Proactividad en la detección de incidencias con implicación LOPD.

BÁSICO MEDIO ALTO 10. Las medidas de seguridad Identificativos
Personales Empleo BÁSICO Perfiles Financieros Infracciones Solvencia Patrimonial Admones. Tributarias Seguridad Social MEDIO Afiliación Sindical Salud Vida sexual Creencias Origen racial ALTO

Excepciones a las medidas de seguridad aplicables a datos de nivel alto Posibilidad de aplicar medidas de nivel básico a ficheros que contengan: Datos que se utilicen con la única finalidad de transferencia dineraria a las entidades de las que los afectados son asociados o miembros. (P.e. pago cuota afiliación sindical) Datos que se refieran exclusivamente al grado de discapacidad o a la condición de discapacidad o invalidez con motivo del cumplimiento de deberes públicos. ( P.e. Nóminas)

El Documento de Seguridad Objeto e importancia. - Recoge las medidas de índole técnica y organizativas acordes - con la normativa de seguridad vigente y será de obligado - cumplimiento para el personal con acceso a los sistemas de información. Contenido Mínimo. - Ámbito de aplicación. - Medidas, normas y procedimientos. - Funciones y Obligaciones del Personal. - Estructura de los ficheros con datos de carácter personal. - Procedimiento de notificación y gestión ante las incidencias. - Procedimiento de copias de respaldo y recuperación. - Medidas para el transporte y destrucción de soportes y documentos. Actualización. - Debe ser actualizado y revisado siempre que se produzcan cambios en los sistemas de información, tratamiento, ficheros u organización. - Debe adecuarse en todo momento a la normativa vigente. Difusión. Entre todos los usuarios de la Organización

Medidas comunes a todos los niveles Acceso a datos a través de redes de comunicación: - Redes de comunicación públicas o no públicas - Nivel de seguridad equivalente a accesos en local • Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento: - Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de la Compañía. - Nivel de seguridad en función del tipo de fichero tratado. Ficheros temporales o copias de trabajo de documentos: - Ficheros creados exclusivamente para la realización de trabajos temporales auxiliares. - Deberán ser borrados o destruidos una vez que hayan dejado de ser necesarios para los fines que motivaron su creación.

Medidas de Seguridad. Ficheros Automatizados Medidas de NIVEL BÁSICO Registro de Incidencias Funciones y obligaciones del personal Identificación y autenticación de usuarios Control de Acceso Gestión de Soportes Copias de Respaldo y Recuperación (periodicidad) Medidas de NIVEL MEDIO Responsable de Seguridad Auditorías Gestión de soportes y documentos Control de Acceso Físico Medidas de NIVEL ALTO Gestión y Distribución Soportes (cifrado) Copias de Respaldo y Recuperación (ubicación) Registro de Accesos Telecomunicaciones (cifrado)

Medidas de Seguridad. Ficheros Automatizados Medidas de Seguridad – NIVEL BÁSICO - Procedimiento de notificación, gestión y registro de incidencias Tipo de Incidencia Fecha y hora Persona que la notifica Persona que recibe la notificación Efectos de la incidencia y modo de resolución - Control de acceso lógico a los sistemas: Accesos restringidos por capacidades funcionales Sistemas de identificación y autenticación (cambio de contraseña 1 vez por año al menos) - Gestión de soportes que contengan datos de carácter personal: Inventario de soportes Acceso restringido a los mismos Procedimiento de autorización para la salida de soportes y el envío de adjuntos a correos electrónicos. - Copias de respaldo y recuperación de datos. Realización de back-up con periodicidad semanal Procedimiento de recuperación de datos y prueba de recuperación mínimo cada 6 meses

Medidas de Seguridad. Ficheros Automatizados Medidas de Seguridad - NIVEL MEDIO - Designación de un Responsable de Seguridad: Único para todos los ficheros o diferenciado. -Auditoría (cada 2 años): También cuando se produzca un cambio sustancial en los sistemas. Informe de Auditoría. Conclusiones al Responsable del Fichero. - Limitación de la posibilidad de intentar de forma reiterada el acceso no autorizado al sistema informático. - Gestión de soportes: Registro de la entrada y salida. Sistema que impida la recuperación de datos (soportes reutilizados o desechados). - Registro de incidencias debe incluir los procedimientos de recuperación de datos. - Control de acceso físico- Personal autorizado en el documento de seguridad.

Medidas de Seguridad. Ficheros Automatizados Medidas de Seguridad - NIVEL ALTO -Gestión de soportes: Etiquetado de soportes comprensibles únicamente para los usuarios. Distribución de soportes cifrando los datos. Cifrado de dispositivos portátiles fuera de las instalaciones. Registro de los accesos a los sistemas: Usuario que accede, fecha y hora, fichero accedido y si el acceso ha sido autorizado o denegado. Conservación de los datos registrados durante dos años. Informe de revisión mensual. - Copias de respaldo y recuperación de datos: Conservación en lugar diferente. Adopción de las medidas de seguridad al local de conservación de las copias. - Transmisión de datos por redes de telecomunicaciones cifrando los datos

Medidas de Seguridad. Ficheros NO Automatizados Medidas de NIVEL BÁSICO Criterios de archivo Dispositivos de almacenamiento Custodia de soporte Medidas de NIVEL MEDIO Responsable de Seguridad Auditorías Medidas de NIVEL ALTO Almacenamiento de la información Copias o reproducción Accesos a documentación Traslados de documentación

Medidas de Seguridad. Ficheros NO Automatizados Medidas de Seguridad – NIVEL BÁSICO - Medidas de Seguridad comunes - Criterios de Archivo. Criterios de archivo previstos en su legislación. Si no hay norma aplicable, se confeccionará un procedimiento de archivo. Garantizar conservación, localización y consulta. Posibilitar el ejercicio de los derechos ARCO. - Dispositivos de almacenamiento. Mecanismos que obstaculicen su apertura o impidan el acceso a personas no autorizadas. - Custodia de soportes. Tramitación previa o posterior a su archivo, la persona al cargo debe impedir el acceso a persona no autorizada.

Medidas de Seguridad. Ficheros No Automatizados Medidas de Seguridad - NIVEL MEDIO Responsable de Seguridad: Designación de uno o varios Responsables de Seguridad. ¿Mismo Responsable de Seguridad para ficheros automatizados y ficheros no automatizados? -Auditoría (cada 2 años): Informe de Auditoría interna o externa cada dos años.

Medidas de Seguridad. Ficheros No Automatizados Medidas de Seguridad - NIVEL ALTO -Almacenamiento de la información: Armarios, archivadores en áreas de acceso protegido con puertas con sistema de apertura de llave o dispositivo equivalente. Copia o reproducción: Copias bajo control de personal autorizado Destrucción de las copias desechadas - Acceso a la documentación: Personal autorizado Mecanismos de identificación Registro de accesos Traslado de la documentación: Adoptar medidas necesarias para impedir acceso o manipulación de la información.

EL RESPONSABLE DEL FICHERO (art. 95 RLOPD)
10. Las medidas de seguridad Responsable de Fichero. EL RESPONSABLE DEL FICHERO (art. 95 RLOPD) Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. La Entidad ¿Puede haber Responsable “internos” del fichero”? SI, como figura

Responsable de Seguridad EL RESPONSABLE DEL SEGURIDAD (art. 95 RLOPD) En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento. Quien/es designe la Entidad

Responsable de Seguridad. Funciones Coordinar y controlar la adopción y cumplimiento de las medidas de seguridad aplicables. Funciones: Cumplimiento de las medidas de seguridad Perfiles de acceso y cuentas de usuario Seguridad Lógica Documento de Seguridad Normas y Procedimientos de Seguridad Gestión de Soportes Control de Incidencias Inspecciones de Autoridades de Control Colaboración en auditorías y proyectos de adecuación Otras

Responsable de Seguridad. Características Conocimiento profundo de la empresa. Fluida relación y contacto con los empleados. Dedicación, total o parcial, de su jornada laboral a temas de protección de datos (depende del tamaño de la empresa). Conocimientos técnicos/informáticos. Conocimientos jurídicos en protección de datos. Capacidad organizativa y de dirección.

Responsable de Seguridad. Designación. Delegación de funciones Debe ser designado formalmente (art. 95 RLOPD). El documento de designación. Requisitos. Tipos: Formal vs. Funcional. Principal vs. Delegados. Otros (ficheros, aplicaciones, departamentos, empresas, etc.). Responsables delegados. La delegación de funciones. El documento de delegación. Requisitos. ¿1 o varios Responsables de Seguridad?.

El Comité de Seguridad. Definición Órgano interno de la Entidad. Agrupa a las principales figuras implicadas en el cumplimiento de la normativa de protección de datos personales. Coordinar, impulsar y proponer medidas y acciones a realizar en materia de protección de datos personales.

El Comité de Seguridad. Objetivos (I) 1) Seguimiento de las acciones necesarias a realizar para garantizar un cumplimiento continuo de la normativa de protección de datos (unificación de criterios, aprobación de documentos, etc.). 2) Detectar nuevas necesidades en la Entidad en materia de protección de datos, debido a novedades legislativas, acciones de especial riesgo (Servicio de Atención Telefónica, acciones de Marketing, cambios societarios, nuevas aplicaciones, cambios relevantes en sistemas de información), etc.

El Comité de Seguridad. Objetivos (II) 3) Aportar experiencia de la actividad de la Entidad con repercusión en materia de protección de datos. Identificar y coordinar posibles deficiencias/problemas en materia de protección de datos personales (p.e. a partir de Proyectos de Adecuación o Auditoría), así como decidir los aspectos a implantar para solucionar dichas deficiencias/problemas. 5) Reaccionar y coordinar la solución urgente ante imprevistos en materia de protección de datos (p.e. inspecciones de la AEPD). 6) Impulsar y coordinar proyectos, puntuales o periódicos, relacionados con el cumplimiento de la normativa de protección de datos. 7) Velar por el mantenimiento de una buena imagen ante la AEPD.

El Comité de Seguridad. Tipos Comité Estratégico LOPD Miembros posibles: Departamento de Sistemas de Información, Departamento de Asesoría Jurídica, Departamento de Calidad y Departamento de Auditoría. Asistentes: Responsables del Departamento. Requiere: Delegación operativa clara y coordinada. Comité Operativo LOPD (adicional al estratégico o único) Miembros posibles: Permanentes. Variable. Requiere: capacidad para lanzar tareas y obligaciones a áreas o personas concretas. Comité Mixto (suma de ambos)

El Comité de Seguridad. ¿Quién (I)? Personas que, por razón de sus funciones, deban conocer la materia: Responsable de Seguridad. Departamento Jurídico. Departamento de Informática. Personas que necesiten, por razón de sus funciones, conocer la normativa: Departamento de Marketing. Departamento de RR.HH. Servicio de Atención al Cliente. Departamento de Calidad. Otros Departamentos de negocio que, de manera habitual, traten datos personales. Personas que, excepcionalmente, deban asistir a las reuniones por asuntos concretos.

El Comité de Seguridad. ¿Quién (II)? En todo caso, Liderazgo Puede ser permanente o rotatorio (entre los participantes permanentes). Puede crearse una figura “ad hoc” (normalmente con dedicación parcial), o puede externalizarse No supone capacidad de “voto decisivo”: es un moderador “inter pares” En función de la composición y funciones: Deberá disponer de un recurso (normalmente a tiempo parcial) que se encargue de la organización y la logística de las convocatorias. Deberá integrar (de modo permanente o puntual) otros roles LOPD que se establezcan en la Entidad.

El Comité de Seguridad. Poderes Debe tener capacidad ejecutiva, en todo caso, traducida en: Responsabilidad directa sobre las tareas y acciones que se decidan O, capacidad de establecer los responsables directos Por otro lado, el Comité podrá ser PROACTIVO y/o REACTIVO PROACTIVO Detección y resolución de nuevas necesidades Auditorías y Control periódico Formación y concienciación Reporte de estado de cumplimiento a Dirección REACTIVO Nuevas necesidades que le sean comunicadas Consultas y peticiones de cualesquiera Áreas o Departamentos MIXTO: sin que ello suponga un obstáculo para mantener un nivel de proactividad elevado y permanente

El Comité de Seguridad. Temas a tratar Como mínimo, en cada reunión del Comité Operativo LOPD se deben tratar los siguientes puntos: Repasar las acciones a realizar establecidas en el acta de la reunión del Comité Operativo LOPD anterior (excepto en la primera convocatoria). Conocer el motivo de la falta de cumplimiento de las acciones no realizadas o las desviaciones sobre los resultados pretendidos. Identificar nuevas necesidades relacionadas con el mantenimiento del cumplimiento de la normativa. Detectar posibles problemas relacionados con la normativa de protección de datos (p.e. muchas solicitudes de ejercicio derecho rectificación - > datos no actualizados). Definir acciones futuras a realizar asignando un responsable a cada una de ellas y determinar el plazo para realizarlas. Levantar acta de la reunión.

El Comité de Seguridad. ¿Cuándo? Comité Ordinario Recomendación: Al menos cada dos meses. Partirá de un Orden del Día mixto: i) cuestiones permanentes (acta último Comité, revisión de actividades entre Comités, revisión de indicadores de estado de cumplimiento, etc.); ii) cuestiones puntuales (actuaciones AEPD, nuevos Proyectos, nuevas aplicaciones, etc.). Comité Extraordinario Carácter urgente. Posibilidad de reuniones extraordinarias ante cualquier aspecto relevante o urgente que afecten a la materia relativa de protección de datos (p.e. inspección de la AEPD; cambios legislativos; desarrollo de nuevos productos y/o servicios; sinergias con otros proyectos; etc.).

El Comité de Seguridad. Reporte Comité Estratégico o Alta Dirección (Actas de cada Comité). Comunicación de tareas y acciones (decididas y ejecutadas). Acciones periódicas formativas/de comunicación con relación a existencia, funciones y modos de comunicación con el Comité Operativo LOPD. Áreas o Departamentos afectados por las tareas, proyectos, iniciativas, etc. del Comité.

11. LA AUDITORÍA LOPD

11. La Auditoría LOPD 0 FASE.- Planificación.
1ª FASE.- Revisión inicial de documentación, procedimientos, normativas y ficheros. 2ª FASE.- Revisión del ciclo de vida de los datos, Documento de Seguridad y de las medidas de seguridad implantadas en los sistemas de información y revisión de los procedimientos vigentes. Opcional: Revisión del cumplimiento de aspectos jurídicos. 3ª FASE.- Entrega de Informes : Informe Preliminar de Auditoría. Otros documentos (Plan de Actuación de Medidas Correctoras, Informe de Revisión Cumplimientos Jurídicos, etc.). 4ª FASE.- Implantación de Medidas Correctoras. Concienciación y Formación. 5ª FASE.- Informe Final de Auditoría y presentación de resultados. Elevación de los mismos a la Dirección de la Entidad.

11. La Auditoría LOPD Planificación
Planificación del orden cronológico de desarrollo de los trabajos en los centros, atendiendo al volumen de cada uno, ubicación territorial, importancia, necesidades etc. Definición del equipo colaborador de la empresa auditada. Convocatoria inicial vía mail con todo el personal colaborador para explicar el ámbito y objetivos del Proyecto. Creación de un Comité de Seguimiento para impulsar y evaluar el cumplimiento del Proyecto conforme a lo previsto. Delimitación de criterios homogéneos en cuanto a metodología de trabajo para todas las entidades. ¿Interna o externa? Equipo de Trabajo. ¿1 o 2 auditores?. Cualificación de los auditores.

11. La Auditoría LOPD Revisión de documentación
Organigrama departamental de la empresa. Inscripciones actuales de ficheros ante la AEPD. Último Informe de Auditoría realizado en la entidad. Estructura de red, diagrama de servidores y ficheros, etc. Últimos Documentos de Seguridad vigentes. Procedimientos y Políticas de seguridad existentes. Mecanismos de comunicación a usuarios de sus funciones y obligaciones con relación al tratamiento de datos personales. Modelos de cláusulas y Contratos utilizados para regular la recogida de datos personales y/o los flujos de información entre empresas del Grupo y hacia otras Entidades. Canales de recogida / transmisión de datos personales de clientes, proveedores, empleados, candidatos, etc. Etc.

Revisión de Medidas de Seguridad
11. La Auditoría LOPD Revisión de Medidas de Seguridad Sistemas de información y de la seguridad implantada a cada fichero. Vigencia y efectiva implantación de los Documentos de Seguridad existentes. Políticas, procedimientos, normas, reglas y estándares implantados. Procedimiento para la realización de copias de respaldo y recuperación de datos. Mecanismos de almacenamiento y auditoría de log’s

11. La Auditoría LOPD Realización de pruebas con datos reales
Control de los perfiles de usuario, seguridad de accesos a los ficheros con datos personales. Revisión de la política de asignación, distribución y almacenamiento de las password’s y usernames. Comprobación del procedimiento de Registro de entrada y salida de soportes y del manual de normas a llevar a cabo cuando el soporte se traslada fuera de las dependencias de la empresa auditada. Análisis de los Sistemas de Encriptación para la transmisión de datos por redes de telecomunicaciones. Revisión de los procedimientos de notificación y gestión de incidencias. Revisión de los procedimientos de control de accesos a los datos y recursos. Revisión de los controles de acceso físico a los locales con sistemas de información (CPD’s). Cumplimiento de verificaciones e Informes Etc.

11. La Auditoría LOPD La revisión especificada anteriormente se desarrollará: De forma presencial en las sedes de la empresa auditada. Se preparará previamente un calendario de reuniones, así como las agendas de los temas a tratar en cada una de ellas. Solicitando información, documentación o accesos a aplicaciones informáticas, al objeto de verificar los aspectos auditables. Verificando el cumplimiento final de las previsiones del RMS. Contrastando las medidas de seguridad y procedimientos existentes con lo dispuesto en el Documento de Seguridad de la empresa auditada. Verificando las medidas de puesta en conocimiento de los usuarios de los sistemas de información de sus funciones y obligaciones con relación al tratamiento de datos personales.

11. La Auditoría LOPD El Informe de Auditoría
Grado de adecuación de las medidas y controles. Identificación de deficiencias y no conformidades. Proposición de recomendaciones y medidas correctoras. Importante: las evidencias (datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas). Análisis por el Responsable de Seguridad competente y elevación de conclusiones al Responsable del Fichero. Informe a disposición de la AEPD.

11. La Auditoría LOPD Implantación de medidas correctoras
Actualizando las inscripciones de creación, modificación o supresión de ficheros ante la AEPD. Actualizando el Documento de Seguridad conforme a la realidad de los procedimientos de la empresa auditada y los requisitos que establece el Reglamento de Medidas de Seguridad. Definiendo cómo parametrizar e implantar medidas técnicas en los sistemas de información. Desarrollo de labores de formación y concienciación.

12. LOS DERECHOS A.R.C.O.

12. Los derechos A.R.C.O. ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN Celeridad: plazos legales muy breves Requisitos obligatorios de la Solicitud: Nombre y apellidos del interesado Fotocopia del DNI del interesado Petición en que se concreta la solicitud Domicilio a efectos de notificaciones Fecha y firma del solicitante Documentos acreditativos de la solicitud Plazos: Acceso: 30 días (solicitud estimada: 10 días para hacerla efectiva) Rectificación/Cancelación/Oposición: 10 días

12. Los derechos A.R.C.O. El derecho de acceso: posibilidad que tiene el titular de los datos de solicitar información respecto de qué concretos datos personales relativos a él existen en los ficheros de los que la empresa es responsable, el tratamiento y su origen. El derecho de rectificación: posibilidad que tiene el titular de los datos de solicitar a la empresa la corrección de aquellos datos que fuesen incorrectos o que hubiesen quedado desactualizados. El derecho de cancelación: posibilidad que tiene el titular de los datos de solicitar a la empresa la eliminación de sus datos. El derecho de oposición: posibilidad que tiene el titular de los datos de solicitar que finalice el tratamiento de sus datos personales, en los casos en los que no haya sido necesario el consentimiento del titular de los datos para el tratamiento de los mismos y siempre que una Ley no disponga lo contrario.

12. Los derechos A.R.C.O. Ejercicio de los derechos debe ser gratuito (ejercitados dichos derechos conjuntamente o por separado). El ejercicio de los derechos debe hacerse personalmente por el titular de los datos o por el representante legal (incapacidad o minoría de edad), en cuyo caso podrán ser ejercitados por el representante legal, quien deberá acreditar dicha condición (mediante el documento acreditativo de dicha representación). Remitir a la empresa una solicitud por escrito: Nombre, apellidos del interesado y fotocopia del DNI del interesado y, en los casos en que excepcionalmente se admita, de la persona que lo represente, así como el documento acreditativo de la representación. En caso de no aportarse copia del DNI y/o documento identificativo de la representación, cuando sea aplicable, la empresa deberá solicitar la subsanación de dicho defecto de forma. Petición en que se concreta la solicitud. Domicilio a efectos de notificaciones, fecha y firma del solicitante. - Documento/s acreditativo/s de la petición que formula, en su caso.

12. Los derechos A.R.C.O. El interesado deberá hacer uso de cualquier medio que permita acreditar el envío y la recepción de la solicitud (p.e. correo certificado con acuse de recibo). El Responsable del Fichero deberá contestar las solicitudes de ejercicio de derechos A.R.C.O. que se le dirijan, dentro de los plazos legales: - acceso, 1 mes; - rectificación, cancelación y oposición, 10 días, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo hacer uso de cualquier medio que permita acreditar el envío y la recepción.

12. Los derechos A.R.C.O. Derecho de acceso: Sistemas de consulta:
- Escrito, copia o fotocopia remitida por correo. - Visualización en pantalla. - Telecopia. - Correo electrónico u otros sistemas de comunicaciones electrónicas. - Cualquier otro procedimiento que sea adecuado a la configuración e implantación material del fichero, ofrecido por el responsable del mismo. Si se estima la solicitud, en un plazo máximo de 1 mes, se deberá dar respuesta al titular de los datos en el sentido de estimar la misma. Dentro de los 10 días siguientes, se deberá hacer efectivo el ejercicio del derecho. Si se desestima la solicitud, la empresa deberá remitir un escrito desestimando la solicitud y motivando la desestimación. También puede dejar transcurrir el plazo de 1 mes, sin necesidad de contestar expresamente. Este derecho podrá ejercitarse una vez cada doce meses. Excepciones. La información que se proporcione deberá facilitarse en forma legible y entendible y comprenderá todos los datos del afectado.

12. Los derechos A.R.C.O. Derechos de rectificación y cancelación:
Desde la empresa deberá hacerse efectivo el ejercicio de estos derechos en un plazo máximo de 10 días, a contar desde que se recibe la solicitud. Si los datos rectificados o cancelados hubiesen sido cedidos previamente, desde la empresa se notificará al cesionario, en el mismo plazo de 10 días, la rectificación o cancelación efectuada, para que dicho cesionario también la lleve a cabo en su fichero. La solicitud de rectificación deberá indicar el dato erróneo y la corrección que deba realizarse, a cuyo efecto se acompañará la documentación justificativa, salvo que dicha corrección dependa exclusivamente del consentimiento del interesado. La cancelación de los datos no tendrá lugar cuando pudiese causar un perjuicio a intereses legítimos del titular de los datos, de terceros o cuando exista una obligación de conservar los datos. Si desde la empresa se considera que no procede atender la solicitud de rectificación o cancelación, deberá comunicarlo motivadamente al titular de los datos dentro del plazo de 10 días antes indicado.

12. Los derechos A.R.C.O. Derecho de oposición
El interesado deberá acreditar los motivos legítimos en los que funde su solicitud. Desde la empresa, en un plazo máximo de 10 días a contar desde que se recibe la solicitud, deberá darse respuesta al titular de los datos en el sentido de estimar o desestimar la misma, según proceda. La empresa podrá denegar la solicitud de ejercicio del derecho de oposición cuando una Ley autorice expresamente el tratamiento de los datos personales o cuando el interesado no acredite motivos fundados y legítimos. En caso de estimarse la solicitud, se procederá a la cancelación de los datos del interesado.

12. Los derechos A.R.C.O.

13. AUTORIDADES DE CONTROL

13. Autoridades de Control
La Agencia Española de Protección de Datos (arts. 35 y ss.) Entidades privadas u Organismos Públicos por no existencia de Agencia Autonómica. Velar por el cumplimiento de la normativa en materia de protección de datos - Proporcionar información: FUNCIÓN CONSULTIVA - Emisión de Autorizaciones: Ej: movimiento internacional datos a país sin nivel adecuado de protección - Potestad de inspección - De oficio - A instancia de parte (denuncia) - Potestad sancionadora

Agencias de Protección de Datos Autonómicas Organismos Públicos con ámbito de actuación dentro de la CC.AA. Mismas funciones que la AEPD pero en ámbito autonómico. Administraciones Públicas.

AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID
13. Autoridades de Control Agencias de Protección de Datos Autonómicas AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID Ficheros de datos de carácter personal creados o gestionados por las Instituciones de la Comunidad de Madrid y por los Órganos, Organismos, Entidades de Derecho público y demás Entes públicos integrantes de su Administración Pública. Ficheros de datos de carácter personal creados o gestionados por los Entes que integran la Administración Local del ámbito territorial de la Comunidad de Madrid, de conformidad con lo previsto en el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, así como sobre los ficheros creados o gestionados por las Universidades públicas y por las Corporaciones de derecho público representativas de intereses económico y profesionales de la Comunidad de Madrid. Ficheros regulados por la Ley estatal 12/1989, de 9 de mayo, de la Función Estadística Pública, creados o gestionados por las entidades y empresas de la Comunidad de Madrid y Entidades Locales referidos en el apartado anterior, para fines no estatales, estarán sometidos al control de la Agencia de Protección de Datos de la Comunidad de Madrid.

AGENCIA VASCA DE PROTECCIÓN DE DATOS
13. Autoridades de Control Agencias de Protección de Datos Autonómicas AGENCIA VASCA DE PROTECCIÓN DE DATOS La Administración General de la Comunidad Autónoma, los Órganos Forales de los territorios históricos y las Administraciones Locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como los Entes Públicos de cualquier tipo, dependientes o vinculados a las respectivas Administraciones Públicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho público. El Parlamento Vasco. El Tribunal Vasco de Cuentas Públicas. El Ararteko. El Consejo de Relaciones Laborales. El Consejo Económico y Social. El Consejo Superior de Cooperativas. La Agencia Vasca de Protección de Datos. La Comisión Arbitral. Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco. Cualesquiera otros Organismos o Instituciones, con o sin personalidad jurídica, creados por ley del Parlamento Vasco, salvo que ésta disponga lo contrario.

AGENCIA CATALANA DE PROTECCIÓN DE DATOS
13. Autoridades de Control Agencias de Protección de Datos Autonómicas AGENCIA CATALANA DE PROTECCIÓN DE DATOS Ejerce su autoridad de control sobre los tratamientos de datos personales llevados a cabo por la Generalidad de Cataluña, por los Entes que integran la Administración Local y por las Universidades en el ámbito territorial de Cataluña, por los Organismos y las Entidades Autónomas que dependen de la Administración de la Generalidad o de los Entes Locales y por los Consorcios de los cuales forman parte. Ejerce sus competencias con relación a los ficheros creados por las Administraciones, los Organismos y las Entidades a que se refiere el apartado 1 cuando sean gestionados por Entidades Públicas o privadas en la prestación de servicios públicos, sean o no concesionarias de éstos, o por asociaciones o fundaciones, o por las sociedades civiles o mercantiles en las cuales la Generalidad o los Entes Locales tengan la participación mayoritaria del capital, cuando llevan a cabo actividades por cuenta de una Administración.

Funciones y competencias AEPD. Competencias inspectoras. Competencias instructoras y sancionadoras. La Inspección de Datos es el órgano de la AEPD al cual competen el desarrollo de las funciones inherentes al ejercicio de las potestades de inspección y sanción.

Funciones inspectoras. Integran las actuaciones de examen, análisis y prueba de sistemas, ficheros, documentos, dispositivos y, en general, de todos aquellos elementos relacionados con los posibles tratamientos automatizados de datos personales objeto de investigación. Entre otras: Efectuar inspecciones, periódicas o circunstanciales, de oficio o a instancia de los afectados, de cualesquiera ficheros, de titularidad pública o privada, en los locales en los que se hallen los ficheros y los equipos informáticos correspondientes. Examinar los soportes de información que contengan los datos personales. Examinar los equipos físicos. Requerir el pase de programas y examinar la documentación pertinente al objeto de determinar, en caso necesario, los algoritmos de los procesos de que los datos sean objeto. Examinar los sistemas de transmisión y acceso a los datos. Realizar auditorías de los sistemas informáticos con miras a determinar su conformidad con las disposiciones de la LOPD y el RMS. Requerir la exhibición de cualesquiera otros documentos pertinentes. Requerir el envío de toda información precisa para el ejercicio de las funciones inspectoras.

Funciones instructoras y sancionadoras. Están relacionadas con el ejercicio de la potestad sancionadora, incluyen la tramitación de los expedientes administrativos iniciados como consecuencia de reclamaciones o denuncias recibidas en la AEPD y relacionadas con la protección de datos personales. Dichas funciones se desempeñan respecto de tres tipos de procedimientos: Tutela de los derechos reconocidos en la LOPD. Expedientes sancionadores contra entidades privadas. Expedientes sancionadores contra Administraciones públicas.

Régimen sancionador (arts. 43 a 45 LOPD) - Infracciones y sanciones: leves, graves y muy graves. INFRACCIÓN SANCIÓN Leve De 600 a euros Grave De a euros Muy grave De a euros

LEVES No atender por motivos formales solicitudes de rectificación o cancelación No proporcionar información requerida por la AEPD No inscribir ficheros en el Registro General de Protección de Datos No cumplir el deber de información Vulnerar el deber de secreto GRAVES No recabar el consentimiento de los titulares Mantener datos inexactos No aplicar las medidas de seguridad correspondientes Obstrucción de la labor inspectora MUY GRAVES Recogida de datos de forma engañosa Comunicación de datos sin requisitos legales Tratar datos de nivel alto sin consentimiento expreso/expreso y escrito

Habituales Incumplimientos Gestión de los derechos ARCO Falta de consentimiento para el tratamiento Cesiones no consentidas ni amparadas en excepciones Deber de información Deber de secreto/medidas de seguridad Identificación telefónica/telemática en procesos de contratación Procesos sin capacidad de mantener una prueba

14. INSPECCIÓN POR LA AUTORIDAD DE CONTROL

14. Inspección por la Autoridad de Control
¿Cómo se comunica? ¿Cómo es? ¿Qué se investiga? ¿Cómo hay que actuar? Antes de la inspección Durante la inspección La importancia del Acta de Inspección

La Inspección de la AEPD Fases. Actos previos. El aviso. Envío notificación vs. actuación por sorpresa. La preparación del ente auditado. Inspección y prueba. Documentos, sistemas, aplicaciones. Levantamiento del acta. Acta de fin de la inspección. Se extiende por duplicado. Debe reflejar hechos y actuaciones llevados a cabo. Firma por representante de la entidad. Resultado: Inexistencia de infracción (archivo) vs. confirmación indicios infractores (apertura expediente sancionador).

El Procedimiento Sancionador Siempre se inicia de oficio, por resolución del Director de la AEPD, a iniciativa de la propia AEPD o por denuncia de particular. Fases. Actuaciones previas. Requerimiento de información. Iniciación. Instrucción. Resolución. Recursos. Contra la resolución del Director de la AEPD cabe interponer recurso de reposición (potestativo, 1 mes ante la AEPD) o recurso contencioso administrativo (2 meses ante la Audiencia Nacional). Pasos

15. CONCIENCIACIÓN DEL PERSONAL

15. Concienciación del personal
Cumplimiento de la normativa de protección de datos -> formación personal (interno y/o externo). División de grupos formativos agrupados por: Diseño del Plan de Formación: Personas o roles que tengan funciones o competencias relacionadas con la gestión del cumplimiento de la normativa sobre protección de datos personales. Personas o o roles que tengan funciones cuyo desarrollo de tareas (de negocio o de soporte a negocio), tenga incidencia significativa. Resto de personas o roles de la Entidad. Delimitación de los objetivos, contenidos y metodologías a utilizar. Resultados que se buscan con la formación y vinculación de los asistentes con relación a tales resultados. Explicitación de las acciones que, en el futuro, se pueden llevar a cabo con fines de refuerzo del mensaje y para evitar que se pierda el esfuerzo realizado.

15. Concienciación del personal
Asistentes (Responsable Funcional del Fichero, Responsable Operativo del Fichero, Responsable de Seguridad, Auditoría Interna, etc.) Contenido mínimo recomendable: Origen y marco jurídico de la protección de datos personales. Principios de la protección de datos: calidad, información y consentimiento. Relaciones con terceros: comunicación de datos v. acceso para prestación de servicios. Derechos de acceso, rectificación, cancelación y oposición. Autoridades de Control, en particular, ejercicio de las potestades inspectora y sancionadora. Seguridad sobre datos personales: el Reglamento de Medidas de Seguridad (Medidas organizativas: gestión y Medidas técnicas: implantación y control).

16. ESPECIAL REFERENCIA: VIDEOVIGILANCIA

SEGURIDAD VS. PRIVACIDAD
16. Especial referencia: Videovigilancia Marco Legal de la Videovigilancia privada en el ámbito empresarial SEGURIDAD VS. PRIVACIDAD Hay un vacío legal, si bien de una parte supone que la utilización de cámaras para videovigilancia privada no esté prohibida, tampoco implica que dicha utilización no esté sujeta a límite alguno: Límites impuestos por la Ley Orgánica 1/1982 de 5 mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen Artículo 7 considera una intromisión ilegítima “la captación, reproducción o publicación por fotografía, filme o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”. Delimitación de la “esfera privada” de la persona

16. Especial referencia: Videovigilancia
Marco Legal de la Videovigilancia privada en el ámbito empresarial ¿Es posible la videovigilancia dirigida a los trabajadores? El Estatuto de los Trabajadores establece en su art que: “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana (…)”. Límites: Deben instalarse únicamente en los lugares donde su utilización sea estrictamente necesaria. Evitar, la captación de imágenes de la vía publica, a través de la instalación de dispositivos que impidan una grabación indiscriminada de imágenes, toda vez que la vigilancia de la vía pública está encomendada a los Cuerpos y Fuerzas de Seguridad del Estado. Anunciar a los interesados de manera clara y permanente de la existencia de videocámaras fijas y de la Autoridad responsable.

Responsabilidad de ficheros con imágenes Variedad de supuestos y figuras: Responsable del fichero: decide sobre finalidad, uso y tratamiento de los datos. Cesionario: recibe los datos para un fin legítimo y previo consentimiento, como norma general. Encargado de Tratamiento: accede a los datos de terceros para llevar a cabo la prestación de un servicio. ¿Empresa de seguridad? Entidad propiedad del edificio Empresas arrendatarias de una o varias plantas Empresa de seguridad

Instrucción de la Agencia Española de Protección de Datos Instrucción 1/2006, de 8 noviembre, por la que se que regula el tratamiento de imágenes de personas físicas identificadas o identificables con fines de vigilancia, a través de sistemas de cámaras y videocámaras Objetivo: lograr una regulación concreta y garantizar los derechos de las personas cuyas imágenes son tratadas por medio de sistemas de cámaras y videocámaras con fines de Vigilancia. De entre las obligaciones que impone a los Responsables de los Ficheros que implanten sistemas de videovigilancia, cabe destacar las siguientes: Notificar un fichero en el Registro General de la AEPD, cuando se graben imágenes. Cancelar las imágenes grabadas en un plazo máximo de un mes desde su captación. Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados.

17. NORMATIVA RELACIONADA

17. Normativa relacionada
Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información A) MEDIDAS DE IMPULSO DE LA SOCIEDAD DE LA INFORMACIÓN Exigencia de cumplimiento de la LOPD y normativa de desarrollo -> tratamiento y conservación de datos personales necesarios para la facturación electrónica (art.1). Exigencia a las empresas que presten servicios al público en general de especial trascendencia económica (suministro de electricidad, gas, aseguradoras, transportes, etc.), habilitar medio de interlocución telemática que, entre otros trámites, se permita el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (art.2). B) MODIFICACIONES LEGISLATIVAS Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico -> obligación de respeto a las normas y procedimientos previstos en el ordenamiento jurídico para proteger los datos personales. Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista -> posibilidad de sanción conforme a lo dispuesto en la LOPD.

Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información Obligatoriedad del uso de la facturación electrónica en el marco de la contratación con el sector público estatal. Obligatoriedad de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica. Fomento de la realización de ofertas públicas de contratación electrónica entre empresas.

Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información Regulación de actividades de juego y apuestas, en particular las realizadas a través de sistemas interactivos basados en comunicaciones electrónicas (juegos y apuestas online). Posibilitar que los contenidos digitales de titularidad pública (derechos de propiedad intelectual que pertenezcan a la Administración sin restricciones o de dominio público) sean puestos a disposición del público sin restricciones tecnológicas para su estudio, copia o redistribución.

Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información Elaboración de un Plan de mejora de los niveles de seguridad y confianza en Internet. Adopción de medidas para hacer posible el uso de caracteres propios de las lenguas oficiales españolas (ñ o ç, por ejemplo) en los dominios bajo el código territorial ".es" y fomento del pluralismo lingüístico en el uso de las tecnologías de la Sociedad de la Información. Ampliación del Servicio Universal en materia de telecomunicaciones a los servicios de acceso a Internet con banda ancha.

Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información Importancia del uso de certificados electrónicos de firma. Consecuencias prácticas de su uso. Identificación y autenticación. La LISI fomenta el uso de certificados reconocidos de firma electrónica. Algunas medidas de impulso requieren del uso de certificados reconocidos. Certificados reconocidos vs. Firma Electrónica reconocida.

Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información Dará lugar a: Entornos electrónicos de gestión de terceros. Entornos electrónicos de gestión de documentos. El uso de la firma electrónica, así como la validación de los certificados electrónicos utilizados, y la custodia de documentos electrónicos que garantice su no alteración y su utilización como prueba en juicio, son los elementos comunes y transversales para el cumplimiento de la LISI.

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico Comunicaciones comerciales y ofertas promocionales -> LOPD. Claramente identificables y persona física o jurídica (“publicidad” o “publi”). Prohibición de envío -> no solicitadas o expresamente autorizadas. Excepto: Posibilidad de oponerse al tratamiento mediante procedimiento sencillo y gratuito -> momento de recogida de datos y en cada comunicación comercial. Revocación de consentimiento en cualquier momento -> procedimiento sencillo y gratuito. Dispositivos de almacenamiento y recuperación de datos en equipos terminales -> información sobre utilización y finalidades y posibilidad de rechazar el tratamiento de datos mediante procedimiento sencillo y gratuito. Relación contractual previa -> siempre que obtención de datos de forma lícita y referente a productos/servicios de su Entidad, similares a los que fueron objeto de contratación.

Ley 59/2003, de 19 de diciembre, de Firma Electrónica Obligaciones de Prestadores de Servicios de Certificación: Protección de datos personales (art. 17): Declaración de Prácticas de Certificación (art. 19): Cumplimiento de la normativa de protección de datos. Consentimiento de los firmantes (no tratamiento distinto sin consentimiento expreso de los firmantes). No inclusión en el certificados electrónico de datos de nivel alto. Consideración de Documento de Seguridad. Disponible al público de forma gratuita.

Ley 26/2006, de 17 de julio, de Mediación de Seguros y Reaseguros Privados Sección V: Protección de Datos de Carácter Personal: Los agentes de seguros exclusivos y los operadores de banca-seguros exclusivos, tendrán la condición de Encargados del Tratamiento de la entidad aseguradora con la que hubieran celebrado el correspondiente Contrato de Agencia. Los agentes de seguros vinculados y los operadores de banca-seguros vinculados, tendrán la condición de Encargados del Tratamiento de las entidades aseguradoras con las que hubieran celebrado el correspondiente Contrato de Agencia. Los corredores de seguros y los corredores de reaseguros, tendrán la condición de Responsables del Tratamiento respecto de los datos de las personas que acudan a ellos. Los auxiliares externos tendrán la condición de Encargados del Tratamiento de los agentes o corredores de seguros con los que hubieran celebrado el correspondiente Contrato mercantil. En el Contrato de Agencia deberán hacerse constar los extremos previstos en el art. 12 LOPD.

Ley 26/2006, de 17 de julio, de Mediación de Seguros y Reaseguros Privados Sección V: Protección de Datos de Carácter Personal: Los agentes de seguros y operadores de banca-seguros, únicamente podrán tratar los datos de los interesados en los términos y con el alcance que se desprenda del Contrato de Agencia de Seguros y, siempre, en nombre y por cuenta de la Entidad aseguradora. Los operadores de banca-seguros no podrán tratar los datos sin contar con el consentimiento inequívoco y específico de los afectados. Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento: Antes de que aquéllos celebren el Contrato de Seguro, con las finalidades de ofrecerles asesoramiento independiente, profesional e imparcial y de facilitar dichos datos a la Entidad aseguradora o Reaseguradora con la que fuese a celebrarse el correspondiente Contrato. Después de celebrado el Contrato de Seguro, exclusivamente para ofrecerles asesoramiento independiente, profesional e imparcial.

Ley 26/2006, de 17 de julio, de Mediación de Seguros y Reaseguros Privados Sección V: Protección de Datos de Carácter Personal: Para la utilización y tratamiento de los datos para cualquier otra finalidad distinta -> consentimiento de los interesados. Resuelto el Contrato de Seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de sus datos para otras finalidades y, en particular, para la celebración de un nuevo Contrato. En todo caso, el corredor de seguros y el corredor de reaseguros no podrán facilitar los datos del interesado a otra Entidad distinta de aquella con la que el interesado hubiera celebrado el Contrato resuelto si no media su consentimiento inequívoco para ello.

Ley 13/2007, de 2 de julio, por la que se modifica el Texto Refundido de la Ley de Ordenación y Supervisión de los Seguros Privados, aprobado por el Real Decreto Legislativo 6/2004, de 29 de octubre, en materia de supervisión del Reaseguro Art.58 bis. Texto Refundido de la Ley de Ordenación y Supervisión de los Seguros Privados, aprobado por el Real Decreto Legislativo 6/2004, de 29 de octubre, en materia de supervisión del Reaseguro “9. Será de aplicación a las Entidades Reaseguradoras lo dispuesto en los apartados 1, 4, 7 y 8 del art. 25. El asegurador directo podrá comunicar al Reasegurador, sin consentimiento del tomador del seguro o asegurado, los datos que sean estrictamente necesarios para la celebración del Contrato de Reaseguro, en los términos previstos en el artículo 77 de la Ley 50/1980, de 8 de octubre, de Contrato de Seguro”.

Ley 30/2007, de 30 de octubre, de Contratos del Sector Público Disposición Adicional 31ª: Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la Entidad contratante, aquél tendrá la consideración de Encargado del Tratamiento. En este supuesto, el acceso a esos datos no se considerará comunicación de datos, cuando se cumpla lo previsto en el artículo 12.2 y 3 de la Ley Orgánica 15/1999, de 13 de diciembre. En todo caso, las previsiones del artículo 12.2 de dicha Ley deberán de constar por escrito. Cuando finalice la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos a la Entidad contratante responsable, o al Encargado de Tratamiento que ésta hubiese designado. El tercero Encargado del Tratamiento, conservará debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con la entidad responsable del tratamiento.

Ley 30/2007, de 30 de octubre, de Contratos del Sector Público Disposición Adicional 31ª: En el caso de que un tercero trate datos personales por cuenta del contratista, el Encargado del Tratamiento, deberán de cumplirse los siguientes requisitos: a) Que dicho tratamiento se haya especificado en el Contrato firmado por la Entidad contratante y el contratista. b) Que el tratamiento de datos de carácter personal se ajuste a las instrucciones del Responsable del Tratamiento. c) Que el contratista Encargado del Tratamiento y el tercero formalicen el Contrato en los términos previstos en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre. En estos casos, el tercero tendrá también la consideración de Encargado del Tratamiento.

Ley 30/2007, de 30 de octubre, de Contratos del Sector Público Cómo regular el tratamiento de datos: Inclusión en los Pliegos de los requisitos exigidos en la LCAP y el art. 12 LOPD. Desarrollar un Convenio entre AA.PP. y Empresa Concesionaria sobre los aspectos de detalle en el tratamiento de datos, que incluya: Qué cláusulas de información utilizar. Cómo gestionar los derechos A.R.C.O. Procesos de entrega y petición de datos durante el Contrato. Revisiones sobre las medidas de seguridad. Etc.

GRACIAS POR SU ATENCIÓN
ECIJA Plaza del Marqués de Salamanca, 3-4, planta Madrid Tfno: Fax:

ECIJA es una Firma que fusiona Derecho y Tecnología.

Presentaciones similares

Presentación del tema: "ECIJA es una Firma que fusiona Derecho y Tecnología."— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

ECIJA es una Firma que fusiona Derecho y Tecnología.

Presentaciones similares

Presentación del tema: "ECIJA es una Firma que fusiona Derecho y Tecnología."— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback