La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Cumplimiento de la Ley de Protección de Datos en la PYME Centro de Formación Cámara de Comercio e Industria de Zaragoza 3 de mayo de 2011 Javier Prenafeta.

Publicada porMargaretta Quijas Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Cumplimiento de la Ley de Protección de Datos en la PYME Centro de Formación Cámara de Comercio e Industria de Zaragoza 3 de mayo de 2011 Javier Prenafeta."— Transcripción de la presentación:

1 Cumplimiento de la Ley de Protección de Datos en la PYME Centro de Formación Cámara de Comercio e Industria de Zaragoza 3 de mayo de 2011 Javier Prenafeta Rodríguez Abogado

2 1. Derechos y obligaciones en materia de Protección de Datos 2. Realización de una Auditoría de Protección de Datos 3. Ejemplos prácticos

3 Ámbito de aplicación Ficheros con datos de personas físicas: -Datos identificativos y de imagen -Datos comerciales -Datos de empleo -Datos económico-financieros -Datos de circunstancias sociales,… Ejemplos Exclusiones

4 Principios de la LOPD Calidad Información Consentimiento Confidencialidad y Seguridad

5 Derechos de los afectados Impugnación de valoraciones Consulta al Registro Acceso, oposición, rectificación y cancelación Indemnización Obligaciones de las empresas Solicitar sólo datos necesarios Informar previamente a la recogida de los mismos Solicitud de consentimiento para el tratamiento y cesiones Implantación de medidas de seguridad (ficheros informáticos y en papel) Inscripción de ficheros

6 Deber de información ¿Qué? Existencia del fichero, finalidad y destinatarios Carácter obligatorio/facultativo de las respuestas Consecuencias Derechos de los afectados Identidad y dirección del responsable del tratamiento ¿Cuándo? Datos facilitados por interesado: previamente a la recogida Resto de casos: dentro de los tres meses siguientes ¿Cómo? Formularios Contratos Mensajes de correo electrónico/acuses de recibo

7 Consentimiento Para el tratamiento de los datos y posteriores cesiones Forma: inequívoco, expreso o tácito (30 días) Excepciones: Relación negocial entre las partes Fuentes accesibles al público Revocación por medios gratuitos Datos de menores de edad Especialidades para datos especialmente protegidos ideología, afiliación sindical, religión y creencias origen racial, salud o vida sexual infracciones administrativas y penales

8 Cesión y transferencias de datos Finalidades relacionadas Transferencias internacionales fuera de la Unión Europea Acceso a datos por cuenta de terceros: subcontrataciones Celebración de contrato por escrito Fines para los que se permite el acceso Medidas de seguridad aplicables Comunicación posterior (subcontratación) Cumplido el servicio, los datos se devuelven o destruyen

9 Ejercicio de los derechos de acceso, oposición, rectificación y cancelación Representación voluntaria, además de incapacitados o menores de edad Medio sencillo y gratuito Procedimiento: Nombre y domicilio, fotocopia DNI o equivalente, autorización en representación, fecha y firma Resolución en el plazo de un mes, en derecho de acceso, debiendo hacerse efectivo dentro de los 10 días siguientes

10 Ficheros de solvencia patrimonial y crédito Requisitos de incorporación: Deuda cierta, vencida, exigible e impagada Requerimiento previo de pago Información completa (art. 5 LOPD) Notificación al afectado dentro de los 30 días siguientes al registro (una por deuda) Cancelación: Inmediatamente, efectuado el pago o cumplimiento de la deuda A los 6 años desde el vencimiento de la obligación, en todo caso Ejercicio de los derechos no está sujeto a restricciones de tiempo (12 meses)

11 Ficheros para actividades de publicidad o prospección comercial Deber de información en cada comunicación que se dirija, incluyendo la palabra publicidad al inicio del mensaje si se hace por correo electrónico. Debe garantizarse el derecho de oposición en cada comunicación También en caso de mensajes dirigidos a empresas u organizaciones

12 Medidas para tratamientos automatizados Nivel básico: Documento de Seguridad, que deberá hacer referencia a los encargados de tratamiento, en su caso, y al contrato con éstos. Determinación de funciones y obligaciones del personal. Registro de incidencias: tipo, fecha/hora, personas implicadas, efectos y medidas correctoras. Control de acceso a los datos con sistema de identificación y autenticación inequívoca y personalizada para cada usuario. Gestión de contraseñas, con duración no superior a un año. Inventario e identificación de soportes. Autorización del Responsable del fichero o bien de antemano en el Documento de Seguridad para salida de soportes y documentos fuera de los locales o instalaciones (también correos electrónicos). Realización de copias de seguridad (semanalmente) y sistema de restauración (comprobación cada 6 meses).

13 Nivel alto: Gestión y distribución de soportes de modo que se impida su identificación a personal no autorizado. Cifrado de los datos. Almacenamiento de una copia de seguridad y los procedimientos de recuperación fuera de los locales de tratamiento. Control de accesos: identificación de usuario, fecha/hora, fichero accedido, tipo de acceso, autorización/denegación. Conservación durante dos años. Excepción para personas físicas y usuario único. Cifrado de datos por redes de comunicaciones públicas (no red de área local)

14 Medidas para tratamientos no automatizados (papel) Nivel básico: Funciones y obligaciones del personal, registro de incidencias, control de acceso, gestión de soportes. Definición y aplicación de un criterio lógico de archivo de los soportes o documentos. Utilización de soportes de almacenamiento que eviten su apertura por parte de personas no autorizadas. Excepción. Establecimiento de normas para la custodia de los soportes Nivel medio: Responsable de Seguridad Auditoría bienal

15 Medidas para tratamientos no automatizados (papel) Nivel alto: Acceso restringido a elementos de almacenaje de documentos o soportes y las copias de seguridad de éstos): llave u otro dispositivo equivalente. Supervisión en la reproducción de documentos. Medidas que permitan identificar y registrar accesos realizados cuando los documentos se puedan utilizar por varios usuarios. Medidas que impidan el acceso o manipulación por terceros cuando se trasladen soportes o documentos con datos.

16 Análisis de los ficheros Tipos de ficheros/datos. Actividades de la empresa Clientes y proveedores Recursos humanos, gestión de nóminas, procesos de selección Contactos Servicio de Atención al cliente Actividades de promoción/mailing Actividades de formación ¿De dónde se obtienen los datos?. ¿Cómo se recogen?. ¿Dónde se guardan? ¿Para qué se utilizan? ¿Dónde van los datos?: terceros implicados en cesiones, transferencia internacional y otros accesos Responsables asignados Mecanismos y procedimientos para el ejercicio de los derechos

17 Adaptación de las medidas de seguridad Determinación del nivel de seguridad en función de los datos Comprobación y revisión de las medidas implantadas Informe o Documento de Seguridad Revisión de documentación: registros (accesos, incidencias, entrada y salida de soportes, copias de seguridad), lista de usuarios, privilegios,... Informe de auditoría con propuesta de medidas correctoras Implicación del personal informático o empresa de mantenimiento

18 Notificación de la existencia de los ficheros Modelos de la Agencia Española de Protección de Datos Sistema NOTA Declaración en papel, Internet y con firma electrónica Ficheros previamente inscritos: modificación o cancelación, en su caso

19 Elaboración o revisión de formularios, contratos y comunicaciones Comprobación del deber de información, consentimientos, uso de los datos y confidencialidad Contratos con clientes y proveedores Contratos de trabajo Ofertas publicitarias y promociones, comunicaciones comerciales por vía electrónica Facturas Formularios web Sensibilización del personal Información acerca de sus deberes, gestión de los datos, Documento de Seguridad (firma)

20 1. Fichero de clientes y proveedores 2. Fichero de personal/recursos humanos

21 Clientes y proveedores Tipos de datos Nombre y apellidos DNI Dirección física/correo electrónico Teléfono/fax Empresa Sector de actividad Productos y servicios recibidos/prestados Datos bancarios Créditos Nivel de seguridad: básico No se requiere consentimiento para el tratamiento de los datos Deber de información (contratos, comunicaciones, facturas,...) Finalidad: Gestión de clientes y proveedores, gestión económica y contable, facturación

22 Clientes y proveedores Cesiones de datos Agencia Tributaria: retenciones e ingresos a cuenta Bancos y Cajas de Ahorro: pagos por transferencia bancaria Empresas del grupo Los dos primeros casos no requieren consentimiento Terceros con acceso a los datos Gestoría fiscal y contable Empresa de mantenimiento informático Servicios de transporte y paquetería

23 Personal/Recursos Humanos Tipos de datos Nombre y apellidos DNI Número de la Seguridad Social Imagen Dirección física/correo electrónico Teléfono/fax Profesión, titulaciones, historial académico, experiencia profesional Aficiones y estilo de vida Datos bancarios Ingresos (nóminas) Otros posibles: afiliación sindical, salud Nivel de seguridad: básico No se requiere consentimiento para el tratamiento de los datos Deber de información en contratos

24 Personal/Recursos Humanos Finalidades: gestión de personal, procesos de selección, gestión de nóminas, prevención de riesgos laborales Cesiones de datos Agencia Tributaria INAEM Tesorería General de la Seguridad Social Bancos y Cajas de Ahorro Mutualidades Sindicatos Aseguradoras Terceros con acceso a los datos Gestoría laboral Servicios de mantenimiento informático

25 Gracias por su atención

Descargar ppt "Cumplimiento de la Ley de Protección de Datos en la PYME Centro de Formación Cámara de Comercio e Industria de Zaragoza 3 de mayo de 2011 Javier Prenafeta."

Presentaciones similares

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.
LEY DE PROTECCIÓN DE DATOS

LEY DE PROTECCIÓN DE DATOS
Tratamiento de datos personales es aquella operación, automatizada o no, que permite la recogida, grabación, conservación, elaboración, modificación, bloqueo.

Tratamiento de datos personales es aquella operación, automatizada o no, que permite la recogida, grabación, conservación, elaboración, modificación, bloqueo.
Agencia Tributaria www.agenciatributaria.es Cesión de información a las Administraciones Públicas por correo seguro - Internet Departamento de Organización,

Agencia Tributaria Cesión de información a las Administraciones Públicas por correo seguro - Internet Departamento de Organización,
Gastón L. Bercún. Privacidad Ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado.

Gastón L. Bercún. Privacidad Ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado.
Microsoft y la Adaptación a la LOPD

Microsoft y la Adaptación a la LOPD
PROTECCION DE DATOS DE CARÁCTER PERSONAL

PROTECCION DE DATOS DE CARÁCTER PERSONAL
Descripción de la solución para la adaptación a la L. O. P. D

Descripción de la solución para la adaptación a la L. O. P. D
ADAPTACIÓN A LA LEY ORGANICA DE PROTECCIÓN DE DATOS

ADAPTACIÓN A LA LEY ORGANICA DE PROTECCIÓN DE DATOS
Auditoría Informática

Auditoría Informática
Salvador Huelin Martínez de Velasco 1 TEMA 5 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.

Salvador Huelin Martínez de Velasco 1 TEMA 5 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.
Convenio para realizar la

Convenio para realizar la
Talcahuano 758, piso 6 B (C1013AAP) Buenos Aires, República Argentina Tel: (54 11) 5031-1100 Fax: (54 11) 5217-6300 E-Mail: estudio@bpcm.com.ar Web: www.bpcm.com.ar.

Talcahuano 758, piso 6 B (C1013AAP) Buenos Aires, República Argentina Tel: (54 11) Fax: (54 11) Web:
Información sobre la adaptación a la Ley Orgánica 15/1999 del 13 de Diciembre de Protección de datos de Carácter Personal a todos los asociados a la Asociación.

Información sobre la adaptación a la Ley Orgánica 15/1999 del 13 de Diciembre de Protección de datos de Carácter Personal a todos los asociados a la Asociación.
DGE Bruxelles Internacional. Contenidos Normativa aplicable Conceptos básicos Clasificación de datos de carácter personal Obligaciones del titular de.

DGE Bruxelles Internacional. Contenidos Normativa aplicable Conceptos básicos Clasificación de datos de carácter personal Obligaciones del titular de.
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
Título de la presentación Comentarios y consecuencias Real Decreto 1720/2007 Reglamento que desarrolla la Ley Orgánica 15/1999 de protección de datos de.

Título de la presentación Comentarios y consecuencias Real Decreto 1720/2007 Reglamento que desarrolla la Ley Orgánica 15/1999 de protección de datos de.
Auditoria Informática Unidad II

Auditoria Informática Unidad II
La protección de datos en la Biblioteca

La protección de datos en la Biblioteca
PROTECCIÓN DE DATOS EN LA MEDIACIÓN

PROTECCIÓN DE DATOS EN LA MEDIACIÓN

Presentaciones similares

Anuncios Google