¿Qué deben hacer los autónomos y las pymes para cumplir con la LOPD?

2

� La Ley Orgánica de Protección de Datos es unanormativa que impone una serie deobligaciones a TODAS las empresas yorganizaciones, públicas y privadas, que en eldesarrollo de sus actividades traten datos depersonas físicas.

� ¿Está obligada mi empresa a cumplir con laLOPD?: Sí, en la medida que realicemostratamiento de datos de carácter personal.

¿QUÉ ES LA LOPD?

3

Es un Derecho fundamental -definido así por lapropia Carta de los Derechos Fundamentales de laUnión Europea- que tienen, exclusivamente, laspersonas físicas, y que busca proteger los datospersonales frente a intromisiones o violacionesilegítimas de su intimidad o privacidad.

¿QUÉ ES LA PROTECCIÓN DE DATOS PERSONALES?

4

� Artículos 10 y 18.4 de la Constitución española.

� Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal (L.O.P.D.). Estávigente desde el año 2000.

� Real Decreto 1720/2007, de 21 de diciembre,Reglamento de desarrollo de la Ley Orgánica deProtección de Datos de Carácter Personal.

� Instrucciones y Recomendaciones de adecuación a laL.O.P.D., por parte de la Agencia de Protección de Datos(A.P.D.)

MARCO JURÍDICO

5

�Garantizar la protección y asegurar elcorrecto uso de los datos de carácterpersonal de las personas físicas por partede las empresas y de lasadministraciones públicas.

FINALIDAD DE LA LOPD

6

� Siempre que en nuestra actividad tratemosdatos de personas físicas.

� Por ejemplo:

� Si se ofrece algún producto o servicio que signifiquetratar con información de clientes que seanpersonas físicas.

� Si se tiene empleados o colaboradores.

� Si se tienen alumnos.

� Si se gestiona un blog con lista de suscripciones.

¿CUÁNDO ES OBLIGATORIOCUMPLIR CON LA LOPD?

7

OBLIGACION LEGAL: al igual que otra normativa (contable, fiscal,laboral, mercantil) se trata de una ley de cumplimiento obligatorio.

EVITAR SANCIONES: incumplir la normativa puede acarrearsanciones económicas (cuyas cuantía van de 900 a 600.000 €)

IMAGEN DE LA ORGANIZACIÓN: ayuda a que nuestros clientesconfíen en su empresa. Más allá de la pérdida económica, refuerzala imagen externa del negocio.

PARALIZACION DE LA ACTIVIDAD: la posibilidad de que se acuerdela inmovilización de los ficheros, en caso de sanciones graves.

OPORTUNIDAD: proteger la información como activo fundamentalde la empresa. Además de la obligación legal, constituye unaoportunidad de mejora para proteger nuestra información.

RAZONES POR LAS QUE DEBECUMPLIRSE CON LA LOPD

8

• “Cualquier información concerniente a personas físicasidentificadas o identificables”. Art. 3. a) LOPD.

• El Reglamento de la LOPD da una definición másamplio: “cualquier información numérica, alfabética,gráfica, fotográfica, acústica o de cualquier otro tipoconcerniente a personas físicas identificadas oidentificables”. Art. 5.1, f.

• Un DATO PERSONAL es toda información queidentifique o permita identificar a una persona (datosrelacionados con la identidad física, fisiológica,psíquica, económica, cultural o social)

¿QUÉ ES UN DATO PERSONAL?

9

� El nombre y los apellidos.

� El número de DNI.

� Las direcciones de contacto (tanto físicas como electrónicas)

� El número de teléfono.

� Una fotografías, la imagen grabada por una videocámara o una grabación de la voz.

� También son datos las informaciones de todo tipo que se relacionan con una persona física como su estado de salud, sus ingresos en la nómina, el domicilio, las películas que alquila o los libros que compra.

� Una dirección IP -cuando permita identificar a la persona que la ha usado-.

� La matrícula del coche.

� La huella digital de una persona.

EJEMPLOS DE DATOS PERSONALES

10

• Regla general: datos que tengan información quepodemos relacionar con una persona física, identificada oidentificable

• Consecuencias:

– Aplicación a datos de personas físicas.

– No aplicación en ningún caso a datos exclusivamentereferidos a personas jurídicas.

– Datos referidos a personas fallecidas: No se aplica, sinperjuicio que sus familiares puedan notificar sudeceso a los responsables de los ficheros otratamientos sobre los datos de éste, y solicitar lacancelación de los datos.

¿QUÉ DATOS QUEDAN AMPARADOSPOR LA LOPD?

11

– Problemas de delimitación

� Autónomos y/o Profesionales: quedan excluidoscuando sus datos se refieran a ellos en su calidad deempresarios individuales.

� Datos de contacto de sociedades: Los ficheros quecontienen datos de personas de contacto depersonas jurídicas quedan excluidos del ámbito deaplicación de la LOPD.

12

� La LOPD define dos roles básicos:

� Responsable de Fichero

� Encargado del Tratamiento

Tanto el Responsable del fichero como el Encargado del tratamiento estánobligados por la LOPD y pueden ser sancionados si no cumplen con susobligaciones.

SUJETOS QUE INTERVIENEN EN ELTRATAMIENTO DE DATOS

13

� Es la persona física o jurídica, pública o privada, que decide

sobre la finalidad, contenido y el uso del tratamiento de los

datos personales.

� Ejemplos:

� Una empresa será la responsable de los ficheros que contienen

datos sobre sus empleados y clientes.

� Un autónomo o empresario individual será el responsable del

tratamiento de los datos personales de sus clientes

� Un Ayuntamiento será el responsable del fichero del padrón.

� Un hotel será responsable del fichero de sus huéspedes.

� Un centro educativo será responsable del fichero de sus

alumnos.

EL RESPONSABLE DEL FICHERO

14

� Es la persona física o jurídica, pública o privada, qué sólo o

junto a otros, trata datos de carácter personal por orden y

cuenta del Responsable del fichero.

� Ejemplos:

� La gestoría que realiza las nóminas de nuestra actividad.

� La empresa que presta servicios para la realización de envíos

postales.

� La empresa de informática, ajeno a la organización, que realiza

tareas de mantenimiento de software sobre el fichero de datos

del responsable o la empresa de “hosting” que tenga alojados

los servidores de datos personales.

• El encargado no puede utilizar los datos para otro fin ni puedeceder los datos a un tercero. Debe restituir al responsable losdatos al finalizar la relación contractual o destruirlos.

EL ENCARGADO DEL FICHERO

15

LOS DATOS PERSONALES NO SONNUESTROS

El dato personal es propiedad de la persona titular del dato, no es de la empresa.

16

• Titular de los datos: es la persona sobre la que disponemos sus datos.La normativa lo define como afectado o interesado (art. 5)

• Fichero: todo conjunto organizado de datos personales, cualquieraque sea la forma o modo de creación, lugar o forma dealmacenamiento y organización de acceso.

• Responsable del fichero: es la persona física o jurídica que decidesobre la finalidad, contenido y uso del fichero.

• Encargado del tratamiento: Es la persona física o jurídica que realizacualquier tratamiento de datos por orden y cuenta del Responsabledel fichero.

• Agencia de Protección de Datos (AGPD): Es el “guardián” de la LOPD.Vela por el cumplimiento de esta legislación.

• Usuario: toda persona autorizada acceder a los datos existentes en losdiferentes ficheros.

Fuente: www.creditoycaucion.com

CONCEPTOS CLAVES

17

� CONSENTIMIENTO

• Los datos personales solamente pueden recogerse y utilizarse sipreviamente contamos con el consentimiento del titular mismos.

• La regla general obtener el consentimiento del interesado.

� SEGURIDAD

� El responsable que trata datos personales debe garantizar su seguridad

� “El responsable del fichero, y, en su caso, el encargado del tratamiento

deberán adoptar las medidas de índole técnica y organizativas

necesarias que garanticen la seguridad de los datos de carácter

personal y eviten su alteración, pérdida, tratamiento o acceso no

autorizado…”

PRINCIPIOS FUNDAMENTALES DEPROTECCIÓN DE DATOS

18

� PRINCIPIO DE CALIDAD

• PRINCIPIO DE CALIDAD DE LOS DATOS: Solamente se deben tratardatos adecuados, pertinentes y no excesivos en relación con el ámbitoy las finalidades legítimas para las que se hayan obtenido.

• Recabados de forma lícita• Datos exactos y actualizados. Deben ser cancelados cuando no sean

necesarios.

• INFORMACIÓN: Es un derecho del titular de los datos y una obligacióndel responsable del tratamiento, que se le informe de forma expresa,precisa e inequívoca de quien es el responsable del fichero y cuál seráel uso y destino del tratamiento de los datos.

19

� DEBER DE SECRETO

• El secreto es esencial para garantizar el derecho fundamental a laprotección de datos. Sin secreto sobre los datos no existiría estederecho.

• «Artículo 10. Deber de secreto. El responsable del fichero y quienes

intervengan en cualquier fase del tratamiento de los datos de carácter

personal estén obligados al secreto profesional respecto de los mismos

y al deber de guardarlos, obligaciones que subsistirán aun después de

finalizar sus relaciones con el titular del fichero o, en su caso, con el

responsable del mismo.”

• Este deber de secreto afecta a todas las personas que accedan ainformación personal contenida en un sistema sujeto al cumplimientode lo previsto por la Ley Orgánica de Protección de Datos Personales.

Fuente: www.creditoycaucion.com

20

• Inscripción de los ficheros en la Agencia de Protección deDatos. art. 26 LOPD. www.agpd.es

• Deber de información previa a la recogida de datos (informar alos titulares de la finalidad del fichero) art. 5 LOPD.

• Prohibición de ceder datos a terceros sin consentimiento delinteresado.

• Garantizar al titular de los datos el ejercicio de los derechos deacceso, rectificación, oposición y cancelación.

• Redactar un Documento de Seguridad y aplicar su contenido.

• Celebración de contratos con terceros con acceso a los datos.

• Implantación de las medidas de seguridad que impidan elacceso a los datos a personas no autorizadas y eviten sualteración o pérdida.

• Realizar auditorías de verificación.

OBLIGACIONES DEL RESPONSABLE DEL FICHERO

21

� Incluir una cláusula en la que se informe a losinteresados de lo siguiente:

a) De la existencia de un fichero o tratamiento de datos de carácter

personal, de la finalidad de la recogida de éstos y de los

destinatarios de la información.

b) de la identidad y dirección del responsable del tratamiento o, en

su caso, de su representante.

c) De la posibilidad de ejercitar los derechos de acceso,

rectificación, cancelación y oposición.

COMO ACTUAR PARA TRATAR LOSDATOS

22

Conforme a lo previsto en la Ley Orgánica 15/1999 de Protección de Datos de CarácterPersonal, le informamos que sus datos serán incluidos en un fichero denominado Clientes,inscrito en el Registro de la Agencia de Protección de Datos y cuyo Responsable del fichero esla Peluquería Tijeras S.L.

La finalidad de este fichero es la de gestionar la relación con nuestros clientes y remitirleinformación comercial sobre nuestros productos. Si no deseara recibir información comercialmarque la siguiente casilla:

Usted da como titular de los datos, su consentimiento y autorización para la inclusión de losmismos en el fichero anteriormente detallado. En cualquier caso, podrá ejercitargratuitamente los derechos de acceso, rectificación, cancelación y oposición dirigiéndose a laPeluquería Tijeras S.L, en c/ …………., ……., indicando en la comunicación L.O.P.D.

• FIRMA:

CLÁUSULA DE CONSENTIMIENTO

23

“Los datos utilizados para esta comunicación provienen defuentes consideradas de acceso público, concretamente[................]., atendiendo a la Ley Orgánica 15/1999, de 13 dediciembre, y su Reglamento de desarrollo. Puede ejercer susderechos de acceso, rectificación, cancelación u oposicióndirigiéndose por escrito ante el responsable del fichero:[................], SL (Dirección [................]”

CLÁUSULA CUANDO LOS DATOS HAN SIDOOBTENIDOS DE FUENTES ACCESIBLES ALPÚBLICO. TRATAMIENTO DE DATOS CONFINES PUBLICITARIO O COMERCIAL

24

� No todos los datos personales tienen la mismaimportancia: atendiendo al tipo de datos querecojamos de nuestros clientes y usuarios elnivel de protección será más o menos elevado.

� Determinados datos personales, cuentan conuna protección legal más intensa (datos deideología, de religión o creencias, de salud, devida sexual, de afiliación sindical…)

TRES NIVELES DE SEGURIDADSEGÚN EL TIPO DE DATOS QUETRATEMOS

25

• La Ley identifica tres niveles acumulativos de

medidas de seguridad, según el tipo de datos

que tratemos:

– Básico ( datos identificativos, académicos,

profesionales)

– Medio (aplicable a ficheros de infracciones

administrativas o penales, solvencia, hacienda

pública y servicios financieros)

– Alto (aplicable al tratamiento de datos sensibles:

datos de salud, religión, afiliación sindical,

ficheros policiales, etc.)

NIVELES DE SEGURIDAD

� Contar con un documento de seguridad que describa las funciones y

obligaciones del personal sobre los ficheros personales de la empresa.

� Registro de incidencias (por ejemplo, si hubo un hurto o un incendio)

� Obligación de custodia por usuarios de documentos que se usan.

� Emplear mecanismos que obstaculicen la apertura de ficheros.

� Identificación de usuarios y accesos autorizados.

� Control de acceso: los usuarios solo tendrán acceso a los recursos que

precisen para el desarrollo de sus funciones ( aplicar mecanismos que

impidan el acceso a datos a personas no autorizadas)

� Traslado de soportes: medidas para prevenir su sustracción, pérdida o

acceso indebido.

� Realizar copias de respaldo (“back up”) y de recuperación de archivos,

en el caso de ficheros automatizados.

NIVELES DE SEGURIDAD: NIVELBÁSICO

� Medidas de seguridad de nivel básico.

� Identificación del responsable de seguridad.

� Auditoría bienal.

� Registro de entrada y salida de soportes.

� Medidas adicionales de identificación de usuarios.

� Control de acceso físico a los locales donde se encuentren los sistemas

de información.

� Procedimiento de copias de respaldo y recuperación de datos.

� Registro de incidencias

NIVELES DE SEGURIDAD: NIVELMEDIO

28

� Medidas de seguridad de nivel básico y medio.

� Custodia de soportes: la persona que se encuentra a cargo de la

documentación deberá impedir que pueda ser accedida por usuarios

no autorizados.

� Gestión de soportes: encriptar datos en soportes y en dispositivos

móviles. (debe registrarse si se va a sacar información de la empresa)

� Copias de respaldo y procedimientos de recuperación en lugar

diferentes del que se encuentren los equipos.

� Registrar usuario, hora, fichero, tipo de acceso y registro accedido.

Control del responsable de seguridad. Conservación dos años.

� Cifrado de telecomunicaciones (enviar correos electrónicos con

información encriptada)

NIVELES DE SEGURIDAD: NIVEL ALTO

29

� Las imágenes son Datos personales. Obligación de adecuar las

cámaras a la LOPD.

� Notificar a la Agencia de Protección de Datos la existencia del

fichero denominado “Videovigilancia”.

� Informar sobre la captación y/o grabación de las imágenes.

� Las cámaras y videocámaras instaladas en espacios privados no

pueden obtener imágenes de espacios públicos.

� Colocar en lugar visible el cartel que informa de que se están

captando imágenes.

� La instalación de las cámaras debe realizarse por empresas

debidamente autorizada por el Ministerio del Interior, si éstas

tienen acceso o manipulan las imágenes que se recogen.

INSTALACIÓN DE CÁMARAS DEVIGILANCIA y LOPD

30

DERECHOS DEL TITULAR DE LOS DATOS:DERECHOS “ARCO”

� A través de los Derechos de acceso, rectificación, cancelación yoposición, el afectado o interesado puede requerir o quererconocer que información personal se está tratando, de quién o dedónde se obtuvieron los datos y a quién se ha cedido. También sepuede rectificar errores, solicitar cancelar datos que no deberíanser tratados u oponerse.

� El ejercicio de estos derechos es personalísimo.

� Se ejercen ante el responsable del fichero. El contenido de lassolicitudes viene establecido en el art. 25 del RDLOPD.

� El responsable debe atender la petición, aún cuando no existandatos personales del solicitante.

31

• SEGURIDAD: La seguridad debe ser extremada al máximo para impedir elacceso a los datos a personas no autorizadas y para evitar su alteración opérdida (armarios con llaves, uso de contraseñas en ordenadores, copias deseguridad “backups”, …)

• DEBER DE SECRETO: Obligación a guardar secreto profesional respecto de losdatos que traten.

• CESION O COMUNICACIÓN DE DATOS: No se pueden comunicar o cederdatos a terceros sin el consentimiento del interesado.

• DERECHOS DEL INTERESADO O AFECTADO: El interesado tiene derecho aacceder a sus datos y a conocer el tratamiento al que se les somete, así comoa oponerse al tratamiento y a exigir su rectificación, y/o cancelación en loscasos que corresponda.

• FORMACION E INFORMACIÓN: a las personas que trabajan en la empresasobre las responsabilidades en protección de datos.

¿CÓMO DEBEMOS ACTUAR?

32

� Las contraseñas son la mejor forma de impedir accesos no controlados a losdatos. No anotarlas en lugares visibles ni las comparta con otros usuarios.Cambiar de contraseña cuando se considere oportuno (al menos cada seismeses)

� Al abandonar el puesto de trabajo, activar el protector de pantalla o bloquearla sesión; la reanudación del trabajo supondrá la activación mediantecontraseña.

� No instalar programas ajenos a los proporcionados y sin consentimiento delResponsable de Seguridad. Especial atención a este respecto con losprogramas de intercambio de archivos.

� Practicar una política de mesas limpias: Guardar documentación con Datosde carácter Personal en lugar seguro. No dejarlos a la vista o sobre la mesa alfinalizar la jornada de trabajo. Guarda esta información en un armariocerrado con llave.

OTRAS RECOMENDACIONES PRÁCTICAS

33

� Destruir el papel que contenga datos de carácter personal y que ya no se utilice.

� Somos responsables de la información que manejamos. Se debe comunicar al Responsable de seguridad cualquier incidencia que afecte a la seguridad de los datos (accesos indebidos, problemas con las copias de seguridad, virus, etc.).

� Recordar al personal que las herramientas informáticas que la empresa pone a disposición son exclusivamente para el desarrollo de su trabajo, por tanto deben utilizarse sólo para tal fin.

Muchas gracias por

su atención

consultas@consulting -pro.org

900 100 240

Para más información no dude en ponerse en contacto con nosotros

Plan de Empleo Comarcal Rioja Alavesa

BILBAO

Alcalde Uhagón, 12- 2º

Tel. +34 94 410 21 44

info@bultz-lan.com

DONOSTIA

Urbieta, 64 -1º izda

Tel. +34 943 47 20 96

info@bultz-lan.com

VITORIA-GASTEIZ

Pedro Orbea, 8

Tel. +34 945 12 00 08

info@bultz-lan.com