Introducción a la Ley Orgánica de Protección de Datos (LOPD)

Presentación del tema: "Introducción a la Ley Orgánica de Protección de Datos (LOPD)"— Transcripción de la presentación:

1 Introducción a la Ley Orgánica de Protección de Datos (LOPD)
Santander Agosto 2008 Introducción a la Ley Orgánica de Protección de Datos (LOPD) Miguel Ángel Quirós

2 Índice ANTECEDENTES NORMATIVOS CONCEPTOS BÁSICOS
OBLIGACIONES DEL RESPONSABLE DEL FICHERO INFRACCIONES Y SANCIONES DERECHOS “ARCO” DE LOS CIUDADANOS OTROS DERECHOS DE LOS CIUDADANOS Quirós Informática, S.L. – –

3 Antecedentes CONSTITUCIÓN ESPAÑOLA TÍTULO I. De los derechos y deberes fundamentales Artículo 10 Se reconoce el derecho a la dignidad de la persona … Artículo 18 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Quirós Informática, S.L. – –

4 Antecedentes LEY ORGÁNICA 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD). REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). REAL DECRETO 195/2000, de 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, de 11 de junio. REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la ley Orgánica 15/1999 de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal. Quirós Informática, S.L. – –

5 Datos de carácter personal Fichero Tratamiento de datos
Conceptos Protección de datos Datos de carácter personal Fichero Tratamiento de datos Sujetos del tratamiento Afectado o interesado Responsable del fichero o tratamiento Encargado del tratamiento Responsable del seguridad Usuario del fichero Quirós Informática, S.L. – –

6 ¿EN QUE CONSISTE LA PROTECCIÓN DE DATOS?
Conceptos ¿EN QUE CONSISTE LA PROTECCIÓN DE DATOS? Se trata de un derecho fundamental y, como tal, ha de ser respetado por todos. Salvaguarda del derecho al honor, la intimidad, y la propia imagen de las personas físicas ante el uso ilegítimo de sus datos de carácter personal. Garantizar al titular de los datos que los terceros, ya se trate de sector público o privado, tratarán sus datos personales con el respeto debido, de forma que aquél pueda tener un control sobre los mismos, y en todo momento sepa qué va a hacer quien trata sus datos, para qué los recaba, cómo los trata y para qué los utiliza o a quién se los cede o comunica. Quirós Informática, S.L. – –

7 DATO DE CARÁCTER PERSONAL
Conceptos DATO DE CARÁCTER PERSONAL Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Si se recogen y tratan datos como el nombre, dirección postal, , teléfono, matrícula del coche, fotografía, huella digital, etc…, se están usando datos que identifican a una persona y por tanto se han de cumplir las prescripciones recogidas en la normativa referida anteriormente. Excluidos del amparo otorgado por la normativa en cuestión: Los datos concernientes a personas jurídicas Los datos de personas físicas que presenten sus servicios a personas jurídicas (nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electrónica, el teléfono y el número de fax profesionales) Los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros Los datos referidos a personas fallecidas Quirós Informática, S.L. – –

8 Conceptos FICHERO TRATAMIENTO DE DATOS:
Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a los criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. No se consideran ficheros a estos efectos, los que poseen las personas físicas en el ejercicio de sus actividades exclusivamente personales o domesticas (por ejemplo, los datos de una agenda electrónica de uso doméstico) TRATAMIENTO DE DATOS: Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Es habitual que prácticamente para cualquier actividad sea necesario que los datos personales se recojan y utilicen en la vida cotidiana. A modo de ejemplo: Cuando se abre una cuenta en un banco Cuando se matricula en un curso de idiomas Cuando se reserva un vuelo o un hotel Cuando se busca trabajo Cuando se pide hora en una consulta médica Quirós Informática, S.L. – –

9 RESPONSABLE DEL FICHERO
Conceptos: Sujetos del tratamiento RESPONSABLE DEL FICHERO Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que sólo o conjuntamente decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Sobre el Responsable del fichero recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización. Así, el Responsable del fichero deberá: Notificar los ficheros ante el Registro General de Protección de datos para que proceda a su inscripción Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados. Garantizar el cumplimiento de los deberes de secreto y seguridad Informar a los titulares personales en la recogida de éstos Facilitar y garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición Velar por el cumplimiento de las medidas de seguridad aplicables en función del tipo de datos que trate. Quirós Informática, S.L. – –

10 Conceptos: Sujetos del tratamiento
Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento. Encargado del tratamiento: persona física o jurídica, pública o privada que, solo o conjuntamente con otros, trate datos de carácter personal por cuenta del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Responsable del seguridad: Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Usuario del fichero: Sujeto autorizado para acceder a datos o recursos. Quirós Informática, S.L. – –

11 Obligaciones del Responsable del Fichero
Legalización Todos aquellos ficheros que contengan datos de carácter personal, objeto de tratamiento por una Organización, habrán de ser inscritos ante el Registro General de la Agencia Española de Protección de Datos. Legitimación El tratamiento de datos de carácter personal, en cualquier Organización, debe llevarse a cabo conforme a una serie de principios básicos recogidos en la normativa. Seguridad y Protección La normativa en materia de protección de datos de carácter personal, concretamente el RDLOPD, recoge la obligación de implantar una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, medidas que habrán de ser adoptadas por la Organización que lleve a cabo un tratamiento de los datos. Quirós Informática, S.L. – –

12 Obligaciones del Responsable del Fichero: LEGALIZACIÓN
Obligación de registrar los ficheros ante la AEPD: Quién: el Responsable del Fichero debe notificar la creación de ficheros para su inscripción en el Registro General de Protección de Datos de la AEPD. Cuándo: con anterioridad al uso de los ficheros, cuando se produzcan cambios respecto a la inscripción inicial, o cuando cesa el uso del fichero. Para qué: permite que los titulares de los datos puedan conocer quienes son los responsables de los ficheros ante los que ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición. Incumplimiento: supondría un a infracción leve o grave, quedando sujeto al régimen sancionador. Quirós Informática, S.L. – –

13 Obligaciones del Responsable del Fichero: LEGITIMACIÓN
El Responsable del Fichero ha de cumplir, y tener presentes, una serie de principios y preceptos; como son: Calidad Deber de información Consentimiento Datos especialmente protegidos Datos de salud Seguridad Deber de secreto Comunicación o cesión de datos Acceso por terceros Quirós Informática, S.L. – –

14 Obligaciones del Responsable del Fichero
CALIDAD DE LOS DATOS Los datos de carácter personal: Deben ser adecuados, pertinentes y no excesivos según ámbito y finalidades No podrán ser usados para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos Deben ser exactos y puestos al día De ser inexactos o incompletos  rectificación o cancelación de oficio (10 días hábiles) por RF Deben ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. Se procederá a su cancelación si no necesario o pertinente según finalidad Excepción: Conservación para el cumplimiento de obligaciones legales o contractuales Quirós Informática, S.L. – –

15 Obligaciones del Responsable del Fichero
DEBER DE INFORMACIÓN Datos recabados del interesado directamente Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de : La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de datos y de los destinatarios de la información El carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas Las consecuencias de la obtención de los datos o la negativa a suministrarlos La posibilidad de ejercitar los derechos acceso, cancelación, rectificación y oposición La identidad y dirección del responsable del fichero o de su representante Cuando se utilicen cuestionarios u otros documentos para la recogida, deben figurar de forma clara y legible los puntos anteriores. El deber de información deberá llevarse a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento. Quirós Informática, S.L. – –

16 Obligaciones del Responsable del Fichero
DEBER DE INFORMACIÓN Datos NO obtenidos directamente del interesado El Responsable del Fichero debe informar al interesado de forma expresa, precisa e inequívoca, dentro de los 3 meses siguientes al registro de los datos, de los siguientes aspectos: del contenido del tratamiento de la procedencia de los datos existencia fichero, finalidad recogida, destinatarios información derechos acceso, cancelación, rectificación, oposición identidad y dirección responsable o representante Quirós Informática, S.L. – –

17 Obligaciones del Responsable del Fichero
CONSENTIMIENTO Como regla general, el CONSENTIMIENTO del interesado es IMPRESCINDIBLE Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello. La solicitud del consentimiento debe ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos Corresponde al responsable del fichero la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho En el caso de tratamiento de datos de menores de catorce años se requerirá el consentimiento de los padres o tutores. Quirós Informática, S.L. – –

18 Obligaciones del Responsable del Fichero
CONSENTIMIENTO Forma de recabar el consentimiento Expresa: Mediante la suscripción del correspondiente documento en el que se plasme la autorización o consentimiento de sus datos de carácter personal. Tácita: El responsable podrá dirigirse al afectado informándole de los extremos del art. 5 LOPD, concediéndole un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole que en el caso de no producirse, se entenderá que consiente el tratamiento. Debe facilitarse al interesado un medio sencillo y gratuito para manifestar su disconformidad con el tratamiento (p.ej. Teléfono o correo ordinario) No se admite el consentimiento presunto. Quirós Informática, S.L. – –

19 Obligaciones del Responsable del Fichero
CONSENTIMIENTO Existen diferentes tipos admisibles de consentimiento, en función del nivel de seguridad de los datos: Consentimiento tácito: datos de nivel básico y medio (nombre y apellidos, DNI, fotografía, etc.) Consentimiento expreso: datos de nivel alto, en cuanto a origen racial, salud y vida sexual. Consentimiento expreso y por escrito: datos de nivel alto: Ideología, afiliación sindical, religión y creencias. Quirós Informática, S.L. – –

20 CONSENTIMIENTO: Revocación
Obligaciones del Responsable del Fichero CONSENTIMIENTO: Revocación El afectado puede revocar el consentimiento para el tratamiento o cesión de sus datos El RF deberá habilitar medios sencillos, gratuitos y que no impliquen ingreso alguno. (envío prefranqueado, número tel. gratuito u otros servicios de atención al publico) No se consideran conformes el envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que impliquen tarificación adicional al afectado u otros medios que impliquen coste adicional al interesado. Cese del tratamiento en diez días, si el interesado hubiera solicitado la confirmación del cese, se deberá responder expresamente a la solicitud. Si los datos han sido cedidos, una vez revocado el consentimiento se deberá comunicar a los cesionarios en el plazo de diez días, para que estos cesen en el tratamiento de los datos. Quirós Informática, S.L. – –

21 EXCEPCIONES A LA SOLICITUD PREVIA DE CONSENTIMIENTO
Obligaciones del Responsable del Fichero EXCEPCIONES A LA SOLICITUD PREVIA DE CONSENTIMIENTO Existen una serie de supuestos en los que no es necesario el consentimiento del interesado para el tratamiento de sus datos; como son: Cuando esté autorizado por una norma con rango de ley o una norma comunitaria Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias Cuando los datos se refieran a las partes contrato o precontrato de relación negocial, laboral o administrativa y necesarios para mantenimiento o cumplimiento Cuando el tratamiento tenga por objeto proteger interés vital según art. 7.6 LOPD Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para satisfacción interés legítimo del Responsable del Fichero o Tercero al que se comuniquen los datos Sin perjuicio del deber informativo !! Quirós Informática, S.L. – –

22 Obligaciones del Responsable del Fichero
DEBER DE SECRETO El Responsable del Fichero, así como quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Quirós Informática, S.L. – –

23 Obligaciones del Responsable del Fichero
COMUNICACIÓN DE DATOS Es cualquier tratamiento de datos que suponga la revelación de los mismos a un Tercero, persona distinta del interesado. En este sentido, conviene tener presente que se considera cesión la simple consulta que un tercero realice a los datos aunque sea a distancia y sin creación de un fichero o tratamiento nuevo. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo CONSENTIMIENTO del interesado Quirós Informática, S.L. – –

24 Obligaciones del Responsable del Fichero
COMUNICACIÓN DE DATOS EXCEPCIONES al consentimiento para la cesión de los datos del interesado a Terceros Cesión autorizada por ley Fuentes accesibles al público la cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. Destinatarios: Defensor del Pueblo, MF o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas, así como a instituciones autonómicas análogas al Defensor del Pueblo o al Tribunal de Cuentas Datos relativos a la salud necesarios para solucionar una urgencia Entre administraciones públicas en determinados supuestos Sin perjuicio del deber de información !!!!! El deber de información en supuestos de cesión es específico: La finalidad a la que se destinarán los datos objeto de comunicación El tipo de actividad desarrollada por el cesionario Quirós Informática, S.L. – –

25 ACCESO A DATOS POR CUENTA DE TERCEROS
Obligaciones del Responsable del Fichero ACCESO A DATOS POR CUENTA DE TERCEROS No es comunicación cuando el acceso a los datos es necesario para la prestación de un servicio al responsable del fichero. Este tipo de tratamiento debe formalizarse a través de un contrato regulado por Ley, es el denominado Contrato de Acceso a Datos por cuenta de tercero; cuyo contenido mínimo es: La obligación asumida por el encargado del tratamiento conforme: sólo tratará los datos según las instrucciones del responsable no los aplicará o utilizará con fin distinto al que figura en el contrato y no los comunicará ni siquiera para su conservación a otras personas (SUBCONTRATACIÓN) las medidas de seguridad que el encargado está obligado a cumplir Quirós Informática, S.L. – –

26 ACCESO A DATOS POR CUENTA DE TERCEROS
Obligaciones del Responsable del Fichero ACCESO A DATOS POR CUENTA DE TERCEROS Cumplida la prestación contractual: los datos de carácter personal, así como cualquier soporte o documento en el que consten, deberán ser destruidos o devueltos al RF No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso se procederá a la devolución, garantizando el RF dicha conservación El encargado conservará debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del fichero. El Encargado será considerado responsable y responderá de las infracciones en que incurra personalmente si destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato. Quirós Informática, S.L. – –

27 SEGURIDAD Y PROTECCIÓN
Obligaciones del Responsable del Fichero SEGURIDAD Y PROTECCIÓN El Responsable del Fichero deberá adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal: NIVELES DE SEGURIDAD MEDIDAS DE SEGURIDAD Quirós Informática, S.L. – –

28 SEGURIDAD Y PROTECCIÓN TIPOS DE DATOS. NIVELES DE SEGURIDAD
Obligaciones del Responsable del Fichero SEGURIDAD Y PROTECCIÓN TIPOS DE DATOS. NIVELES DE SEGURIDAD Niveles de seguridad aplicables en atención al tipo de datos objeto de tratamiento: NIVEL BÁSICO: Aplicable a todos los ficheros con datos de carácter personal, nombre, dirección, teléfono, correo electrónico... NIVEL MEDIO: Datos relativos a la comisión de infracciones administrativas o penales Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social. Ficheros sobre solvencia patrimonial o de crédito Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...) Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas. NIVEL ALTO: Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual. Datos recabados para fines policiales sin consentimiento de las personas afectadas Datos de derivados de actos de violencia de género Quirós Informática, S.L. – –

29 TIPOS DE DATOS. NIVELES DE SEGURIDAD
Obligaciones del Responsable del Fichero TIPOS DE DATOS. NIVELES DE SEGURIDAD Podrán adoptarse las medidas de NIVEL BÁSICO: Ficheros o tratamientos automatizados que: Contengan datos relativos a ideología, afiliación sindical, religión o creencias, así como a salud Transferencia dineraria a las entidades de las que los afectados sean miembros o asociados. Contengan datos relativos a la salud: Cumplimiento de deberes públicos Datos que no incluyan ninguna referencia a una enfermedad concreta o al historial clínico. Porcentaje de discapacidad o la simple declaración de la condición de discapacidad o invalidez del titular de los datos Ficheros o tratamientos no automatizados que: de forma incidental o accesoria contengan datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual), sin guardar relación con la finalidad del fichero. Quirós Informática, S.L. – –

30 Medidas de Seguridad MEDIDAS DE SEGURIDAD FICHEROS AUTOMATIZADOS
FICHEROS NO AUTOMATIZADOS MEDIDAS DE SEGURIDAD Quirós Informática, S.L. – –

31 FICHEROS AUTOMATIZADOS.
Medidas de Seguridad FICHEROS AUTOMATIZADOS. NIVEL BÁSICO (1) DOCUMENTO DE SEGURIDAD Elaboración de un documento, de obligado cumplimiento para el personal de la empresa, que contenga las medidas de seguridad requeridas en función del tipo de datos tratados por el Responsable del fichero. Contenido mínimo recogido en el RDLOPD 1720/2007 FUNCIONES Y OBLIGACIONES DEL PERSONAL Definición de las funciones y obligaciones del personal con acceso a DCP y SI Difusión entre el personal, de las normas que les afecten y de las consecuencias de su incumplimiento. REGISTRO DE INCIDENCIAS Registro: tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica, efectos derivados y medidas correctoras. Procedimiento definido para la notificación y gestión de incidencias que afecten a DCP. CONTROL DE ACCESO Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones. Relación actualizada de usuarios y perfiles de usuarios, y accesos autorizados a los mismos Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados Concesión, alteración o anulación de permisos de acceso sólo por personal autorizado según el Documento de Seguridad Quirós Informática, S.L. – –

32 FICHEROS AUTOMATIZADOS.
Medidas de Seguridad FICHEROS AUTOMATIZADOS. NIVEL BÁSICO (2) GESTIÓN DE SOPORTES Y DOCUMENTOS Medidas que eviten el acceso indebido o recuperación de la información contenida en soportes desechados (borrado/destrucción) Acceso restringido al personal autorizado en el Documento de Seguridad Salida de soportes autorizada por el Responsable de Seguridad Identificar el tipo de información que contienen Inventario IDENTIFICACIÓN Y AUTENTICACIÓN Identificación inequívoca y personalizada de usuarios que intenten acceder a los Sistemas de Información Mecanismos de identificación y autenticación de usuarios: Procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice la confidencialidad e integridad de las mismas Caducidad de las contraseñas (Máximo: 1 año) Almacenamiento inteligible de contraseñas activas COPIAS DE RESPALDO Verificar la definición, funcionamiento y aplicación de los procedimientos de copias y recuperación (mínimo: 6 meses) Copias de respaldo (mínimo: semanal) Quirós Informática, S.L. – –

33 FICHEROS AUTOMATIZADOS.
Medidas de Seguridad FICHEROS AUTOMATIZADOS. NIVEL MEDIO DOCUMENTO DE SEGURIDAD Identificación del responsable/s de seguridad Controles periódicos para verificar su cumplimiento GESTIÓN DE SOPORTES Y DOCUMENTOS Registro de entrada y salida de soportes IDENTIFICACIÓN Y AUTENTICACIÓN Mecanismo que limite número de intentos reiterados de acceso no autorizado al Sistema de Información RESPONSABLE DE SEGURIDAD Designación de uno o varios Responsables de Seguridad Encargados de coordinar y controlar las medidas del DS No supone delegación de responsabilidad del RF AUDITORIA Auditoria ordinaria (interna o externa): Bienal Extraordinaria: modificaciones sustanciales en los Sistemas Información Elaboración de un informe de auditoria CONTROL DE ACCESO FÍSICO Control de acceso físico a los locales donde se ubican los Sistemas de Información. Quirós Informática, S.L. – –

34 FICHEROS AUTOMATIZADOS.
Medidas de Seguridad FICHEROS AUTOMATIZADOS. NIVEL MEDIO GESTIÓN Y DISTRIBUCIÓN DE SOPORTES Identificación mediante etiquetado comprensible y significativo para usuarios autorizados, que permita identificar su contenido. Cifrado de datos en la distribución de soportes Cifrado de dispositivos portátiles fuera de las instalaciones del responsable del fichero. COPIAS DE RESPALDO Y RECUPERACIÓN Conservarse una copia en un lugar diferente de aquel en que se encuentren los equipos informáticos REGISTRO DE ACCESOS De cada acceso se registrará, el usuario, hora fichero accedido, tipo de acceso autorizado/denegado y registro accedido. Control del registro de accesos por responsable de seguridad. Informe mensual. Conservación datos registrados: 2 años. TELECOMUNICACIONES La transmisión a través de redes pública o redes inalámbricas de comunicaciones electrónicas debe realizarse cifrando los datos Quirós Informática, S.L. – –

35 OBLIGACIONES A DESARROLLAR
Medidas de Seguridad: Ficheros Automatizados OBLIGACIONES TECNICAS Y ORGANIZATIVAS RD1720/2007: OBLIGACIONES A DESARROLLAR BÁSICO MEDIO ALTO Documento de Seguridad √ Funciones y Obligaciones del personal Registro de incidencias Gestión de Soportes y Documentos Identificación y autenticación de usuarios Control de acceso lógico Copias de Respaldo y Recuperación Responsable de Seguridad Control de acceso físico Auditoria Bianual Cifrado de telecomunicaciones Registro de accesos Quirós Informática, S.L. – –

36 FICHEROS NO AUTOMATIZADOS.
Medidas de Seguridad FICHEROS NO AUTOMATIZADOS. Criterios Generales Se aplicarán igualmente a los ficheros no automatizados, las siguientes medidas descritas para ficheros automatizados, teniendo en cuenta los niveles de seguridad: DOCUMENTO DE SEGURIDAD FUNCIONES Y OBLIGACIONES DEL PERSONAL REGISTRO DE INCIDENCIAS CONTROL DE ACCESO GESTIÓN DE SOPORTES Y DOCUMENTOS RESPONSABLE DE SEGURIDAD AUDITORIA Quirós Informática, S.L. – –

37 FICHEROS NO AUTOMATIZADOS.
Obligaciones del Responsable del Fichero FICHEROS NO AUTOMATIZADOS. NIVEL BÁSICO CRITERIOS DE ARCHIVO Correcta conservación, localización, consulta y ejercicio de los derechos ARCO Criterios y procedimientos de archivo DISPOSITIVOS DE ALMACENAMIENTO Mecanismos que dificulten su apertura e impidan el acceso a personas no autorizadas CUSTODIA DE SOPORTES Usuario autorizado de la documentación no archivada, encargado de custodiarla e impedir el acceso por persona no autorizada Quirós Informática, S.L. – –

38 FICHEROS NO AUTOMATIZADOS.
Medidas de Seguridad FICHEROS NO AUTOMATIZADOS. NIVEL ALTO ALMACENAMIENTO DE LA INFORMACIÓN Armarios o archivadores ubicados en áreas de acceso con sistemas de apertura mediante llave o dispositivo equiparable ACCESO A LA DOCUMENTACIÓN Mecanismo de identificación de accesos a documento con múltiples usuarios Registro de accesos de usuarios no autorizados Solo personal autorizado TRASLADO DE LA DOCUMENTACIÓN Medidas que impidan el acceso o manipulación de la documentación durante el transporte Quirós Informática, S.L. – –

39 OBLIGACIONES A DESARROLLAR
Medidas de Seguridad: Ficheros No Automatizados OBLIGACIONES TECNICAS Y ORGANIZATIVAS RD1720/2007: OBLIGACIONES A DESARROLLAR BÁSICO MEDIO ALTO Documento de Seguridad √ Funciones y Obligaciones del personal Registro de incidencias Gestión de Soportes y Documentos Control de acceso lógico Criterios de archivo Dispositivos de almacenamiento Custodia de soportes Responsable de Seguridad Auditoria Bianual Almacenamiento de la información Copia o reproducción Acceso a la documentación Traslado de la documentación Quirós Informática, S.L. – –

40 Infracciones y Sanciones
... es un Ente de Derecho Público, cuya finalidad principal es velar por el cumplimiento de la normativa sobre protección de datos personales, actuando para ello con plena independencia de las administraciones Públicas. FUNCIONES Y POTESTADES Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de los datos Atender las peticiones y reclamaciones formuladas por las personas afectadas Potestad sancionadora Potestad de inspección Potestad de inmovilización de ficheros Quirós Informática, S.L. – –

41 Descripción de la infracción
Infracciones y Sanciones Nivel de la infracción Descripción de la infracción Sanción prevista LEVE No atender la solicitud de rectificación o cancelación por motivos formales. No proporcionar información a APD. No solicitar inscripción de fichero en el RGPD (puede ser infracción grave). Recoger datos personales sin proporcionar información a los afectados. Incumplir el deber de secreto (puede ser infracción grave). € ( M Ptas.) GRAVE Algunas infracciones son: Recoger datos personales sin consentimiento expreso de los afectados. Tratar o usar datos de carácter personal incumpliendo la legislación (puede se infracción muy grave). Mantener datos inexactos, sin rectificar o cancelar Mantener ficheros, locales, programas o equipos con datos personales sin las debidas condiciones de seguridad Vulnerar el deber de secreto en ficheros de nivel medio. € ( M Ptas.) MUY Entre otras: Recoger datos de forma engañosa o fraudulenta. Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido. Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD. No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición. No atender sistemáticamente el deber notificación de la inclusión de datos personales. € ( M Ptas.) Quirós Informática, S.L. – –

42 Acceso Rectificación Cancelación Oposición
Derechos ARCO de los Ciudadanos Acceso Rectificación Cancelación Oposición D E R E C H O S Quirós Informática, S.L. – –

43 Ejercicio de derechos ante un Encargado de Tratamiento.
Derechos ARCO de los Ciudadanos Naturaleza Requisitos Procedimiento Ejercicio de derechos ante un Encargado de Tratamiento. Quirós Informática, S.L. – –

44 Derechos ARCO de los Ciudadanos
NATURALEZA Personalísimo Se ejercitarán : Por el afectado, acreditando su identidad Por representante legal, acreditando tal condición supuestos de incapacidad o minoría de edad que imposibilite el ejercicio de estos derechos A través de representante voluntario, acreditando la identidad del representado mediante aportación del DNI del representado y la representación conferida por éste. Denegación de solicitud: Cuando sea formulada por persona distinta del afectado y no se acredite que la misma actúa en representación del afectado. Quirós Informática, S.L. – –

45 Derechos ARCO de los Ciudadanos
REQUISITOS Derechos independientes: No es necesario el ejercicio de uno para poder llevar a cabo el ejercicio de otro Otorgamiento de un medio sencillo y gratuito para el ejercicio de los derechos ARCO, Medios NO conformes a la ley: envíos de cartas certificadas o semejantes, utilización de servicios de telecomunicaciones de tarificación adicional cualesquiera otros medios que impliquen un coste excesivo Utilización de un medio distinto al establecido al efecto: El responsable del fichero deberá atender igualmente a la solicitud, siempre que el medio elegido permita acreditar el envío y la recepción de la solicitud Quirós Informática, S.L. – –

46 Derechos ARCO de los Ciudadanos
PROCEDIMIENTO Comunicación dirigida al Responsable del Fichero: Nombre y apellidos del interesado y fotocopia del DNI / Persona que lo Representa y documento acreditativo Petición en que se concreta la solicitud Dirección a efectos de notificaciones, fecha y firma del solicitante Documentos acreditativos de la petición que formula, Corresponde al Responsable del Fichero: Deber de contestación figuren o no datos personales del afectado Solicitar la subsanación de los errores en la solicitud, en caso de que las hubiere Deber de cumplir con los requisitos para la contestación La prueba del cumplimiento del deber de respuesta Garantizar que las personas con acceso a datos dentro de su organización puedan informar del procedimiento para el ejercicio de sus derechos, al interesado Quirós Informática, S.L. – –

47 DERECHOS ANTE ENCARGADO DE TRATAMIENTO
Derechos ARCO de los Ciudadanos DERECHOS ANTE ENCARGADO DE TRATAMIENTO Supuesto concreto: ejercicio de derechos ARCO ante un encargado de tratamiento Regla general: El Encargado de Tratamiento deberá trasladar la solicitud al Responsable del fichero, para que éste la resuelva Excepción: Salvo que en la relación existente entre ET y RF, se prevea la atención a dichos derechos por parte del ET. Quirós Informática, S.L. – –

48 Derechos de rectificación Derecho de cancelación Derechos de oposición
Derechos ARCO de los Ciudadanos Derecho de acceso Derechos de rectificación Derecho de cancelación Derechos de oposición Quirós Informática, S.L. – –

49 Derechos ARCO de los Ciudadanos
DERECHO DE ACCESO Derecho del afectado a obtener información sobre: si sus propios datos están siendo objeto de tratamiento la finalidad del tratamiento que se esté realizando el origen de dichos datos las comunicaciones realizadas o que se prevean realizar. Quirós Informática, S.L. – –

50 DERECHO DE RECTIFICACIÓN Y CANCELACIÓN
Derechos ARCO de los Ciudadanos DERECHO DE RECTIFICACIÓN Y CANCELACIÓN Derecho de rectificación derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos Derecho de cancelación derecho a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber del bloqueo Quirós Informática, S.L. – –

51 Derechos ARCO de los Ciudadanos
DERECHO DE OPOSICIÓN Derecho a que no se lleve a cabo el tratamiento de sus datos de carácter personal en los siguientes supuestos: Cuando no sea necesario su consentimiento Cuando el tratamiento tenga por finalidad realización de actividades de publicidad y prospección comercial Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos Quirós Informática, S.L. – –

52 INFRACIONES Y SANCIONES
Derechos ARCO de los Ciudadanos INFRACIONES Y SANCIONES Infracciones leves de 600€ a € No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda. Infracciones graves de € a € El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. Mantener los datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente ley ampara Infracciones muy graves de € a € No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición. Sanciones Sanciones Sanciones Quirós Informática, S.L. – –

53 Otros derechos de los ciudadanos
Derecho de indemnización Derecho de exclusión de guías telefónicas Derecho a no recibir publicidad no deseada Derechos de los destinatarios de servicios de comunicaciones electrónicas Quirós Informática, S.L. – –

54 DERECHO DE INDEMNIZACIÓN
Otros derechos de los ciudadanos DERECHO DE INDEMNIZACIÓN Interesados que sufran daño o lesión sobre sus bienes o derechos La AEPD: No competencia para fijar indemnizaciones Ficheros titularidad pública: responsabilidad exigida de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas Ficheros titularidad privada: acción se ejercitará ante los órganos de la jurisdicción ordinaria. Quirós Informática, S.L. – –

55 DERECHO DE EXCLUSIÓN DE GUIAS TELEFONICAS
Otros derechos de los ciudadanos DERECHO DE EXCLUSIÓN DE GUIAS TELEFONICAS Datos repertorios telefónicos (papel/soporte electrónico) = Fuente Accesible al Público. Permitido tratamiento sin consentimiento del interesado Medio para evitar que los datos sean de Dominio Publico: Solicitar la exclusión total o parcial de los datos personales contenidos en repertorios telefónicos de abonados En caso contrario: uso legal de los datos sin consentimiento Quirós Informática, S.L. – –

56 DERECHO A NO RECIBIR PUBLICIDAD NO DESEADA
Otros derechos de los ciudadanos DERECHO A NO RECIBIR PUBLICIDAD NO DESEADA Tratamientos con fines de publicidad y prospección comercial: Los datos han de ser: de fuentes accesibles al público facilitados por los propios interesados obtenidos con su consentimiento Datos de fuentes accesibles al público En cada comunicación se informará del origen de los datos y de la identidad del RF , de los derechos ARCO Quirós Informática, S.L. – –

57 Otros derechos de los ciudadanos
DERECHOS DE LOS DESTINATARIOS DE SERVICIOS DE COMUNICACIONES ELECTRÓNICAS Prohibición: Envío de comunicaciones publicitarias o promocionales Mediante correo electrónico u otro medio de comunicación electrónica equivalente No solicitadas o expresamente autorizadas por los destinatarios. Excepción: Cuando el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los inicialmente contratados. Regla general: El prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con tal fin Mediante un procedimiento sencillo y gratuito Tanto en el momento de la recogida de los datos como en cada una de las comunicaciones comerciales que le dirija Quirós Informática, S.L. – –

58 Sitios Web de Interés Agencia Española de Protección de Datos
Portal Empresarial de Quirós Informática sobre la LOPD Dirección para descagas de la Presentación y Documentación adicional Quirós Informática, S.L. – –

59 Muchas gracias por su atención y hasta la próxima.
Muchas gracias por su atención y hasta la próxima. Miguel Ángel Quirós