LEY DE PROTECCIÓN DE DATOS PARA CASAS RURALES · w w w . Asalvo.net 1111 NNNNORMATIVA VIGENTE LOPD...

LEY DE LEY DE LEY DE LEY DE PROTECCIÓN DE PROTECCIÓN DE PROTECCIÓN DE PROTECCIÓN DE

www.asalvo.netwww.asalvo.netwww.asalvo.netwww.asalvo.net

Enero 2010

PROTECCIÓN DE PROTECCIÓN DE PROTECCIÓN DE PROTECCIÓN DE DATOS PARA DATOS PARA DATOS PARA DATOS PARA

CASAS RURALESCASAS RURALESCASAS RURALESCASAS RURALES

LEY DE PROTECCIÓN DE LEY DE PROTECCIÓN DE LEY DE PROTECCIÓN DE LEY DE PROTECCIÓN DE DATOS DE CARÁCTER DATOS DE CARÁCTER DATOS DE CARÁCTER DATOS DE CARÁCTER

PERSONALPERSONALPERSONALPERSONALwww.asalvo.netwww.asalvo.netwww.asalvo.netwww.asalvo.net

OBJETIVOOBJETIVOOBJETIVOOBJETIVOAl finalizar la acción formativa

Enero 2010

Al finalizar la acción formativa los participantes seremos capaces de:

- Reconocer la normativa legal vigente en materia de protección de datos

- Aplicarla en nuestro entorno de alojamientos rurales.

w w w . Asalv

o.netINDICEINDICEINDICEINDICE

NORMATIVA VIGENTENORMATIVA VIGENTENORMATIVA VIGENTENORMATIVA VIGENTE

CONCEPTOS BÁSICOSCONCEPTOS BÁSICOSCONCEPTOS BÁSICOSCONCEPTOS BÁSICOS

PRINCIPIOS DE LA P. D. PRINCIPIOS DE LA P. D. PRINCIPIOS DE LA P. D. PRINCIPIOS DE LA P. D.

© Información confidencial Asalvo Consultores - Pág. 3 -Enero 2010

DERECHOS DE LOS AFECTADOSDERECHOS DE LOS AFECTADOSDERECHOS DE LOS AFECTADOSDERECHOS DE LOS AFECTADOS

OBLIGACIONES DE LA EMPRESAOBLIGACIONES DE LA EMPRESAOBLIGACIONES DE LA EMPRESAOBLIGACIONES DE LA EMPRESA

AGENCIA DE PROTECCIÓN DE DATOSAGENCIA DE PROTECCIÓN DE DATOSAGENCIA DE PROTECCIÓN DE DATOSAGENCIA DE PROTECCIÓN DE DATOS

RECOMENDACIONESRECOMENDACIONESRECOMENDACIONESRECOMENDACIONES

w w w . Asalv

o.net




INDICEINDICEINDICEINDICE






w w w . Asalv

o.net

NNNNORMATIVA ORMATIVA ORMATIVA ORMATIVA VVVVIGENTEIGENTEIGENTEIGENTE1111

Directiva Europea Directiva Europea Directiva Europea Directiva Europea 95/46/CE95/46/CE95/46/CE95/46/CE

Real Decreto 994/1999Real Decreto 994/1999Real Decreto 994/1999Real Decreto 994/1999, de 11 de junio de medidas de seguridad de los ficheros automatizados

Reglamento de Reglamento de Reglamento de Reglamento de desarrollo de la LOPD. desarrollo de la LOPD. desarrollo de la LOPD. desarrollo de la LOPD. R.D 1720/2007, de 21 R.D 1720/2007, de 21 R.D 1720/2007, de 21 R.D 1720/2007, de 21 de diciembre de diciembre de diciembre de diciembre (Entrada en vigor 19-04-08)


LORTAD LORTAD LORTAD LORTAD Ley Orgánica

5/1992 de 29 de octubre. . . .

LOPD LOPD LOPD LOPD –Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal.

DEROGADAPOR

w w w . Asalv

o.net


LOPD LEY ORGÁNICA 15/1999 DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

� Principios de protección de datos

REAL DECRETO 1720/2007� Título I. Fija el objeto y aplicación de la

norma. � Título II. Principios de protección de

datos.� Título III. Derechos.� Título IV. Ficheros de solvencia

patrimonial y crédito. Ficheros de


datos� Derechos de los interesados.� Ficheros de Titularidad

pública/privada.� Infracciones y sanciones.� Agencia de Protección de Datos

(APD)

patrimonial y crédito. Ficheros de publicidad y prospección comercial.

� Título V. Ficheros públicos y privados.� Título VI. Transferencias

internacionales de datos.� Título VII. Códigos tipo.� Título VIII. Medidas de seguridad.� Título IX. Procedimientos propios de la

AEPD.

w w w . Asalv

o.net


CÓDIGOS TIPOCÓDIGOS TIPOCÓDIGOS TIPOCÓDIGOS TIPO � 1 año desde la entrada en vigor.(19-04-08)FICHEROS AUTOMATIZADOS EXISTENTES.FICHEROS AUTOMATIZADOS EXISTENTES.FICHEROS AUTOMATIZADOS EXISTENTES.FICHEROS AUTOMATIZADOS EXISTENTES.a) Medidas de nivel básico y medio � 1 año

Plazos de implantación del nuevo Real Decreto de la LOPD


b) Medidas de nivel alto � 18 mesesFICHEROS NO AUTOMATIZADOS EXISTENTES.FICHEROS NO AUTOMATIZADOS EXISTENTES.FICHEROS NO AUTOMATIZADOS EXISTENTES.FICHEROS NO AUTOMATIZADOS EXISTENTES.a) Medidas de nivel básico � 1 añob) Medidas de nivel medio � 18 mesesc) Medidas de nivel alto � 2 años

w w w . Asalv

o.net


INCLUIDO

�Datos de carácter personal en soporte físico susceptibles de tratamiento.

ÁMBITO DE APLICACIÓNÁMBITO DE APLICACIÓNÁMBITO DE APLICACIÓNÁMBITO DE APLICACIÓN


susceptibles de tratamiento.

� Sectores público y privado.

�Tratamiento en el territorio español.

w w w . Asalv

o.net


EXCLUIDO� Ficheros mantenidos por personas física par uso personal o

doméstico.� Ficheros sobre materias clasificadas (normativa propia)� Ficheros investigación del terrorismo y delincuencia organizada.� Ficheros régimen electoral (legislación propia)� Función estadística pública (legislación propia)

ÁMBITO DE APLICACIÓNÁMBITO DE APLICACIÓNÁMBITO DE APLICACIÓNÁMBITO DE APLICACIÓN


� Función estadística pública (legislación propia)� Legislación del régimen del personal de las Fuerzas Armadas.� Registro Civil y Central de penados y rebeldes� Imágenes y sonidos obtenidos mediante videocámaras por las F.A y

Cuerpos de Seguridad.� Datos de personas jurídicas ni personas físicas que presten sus

servicio� Datos relativos a empresarios individuales.

w w w . Asalv

o.net










w w w . Asalv

o.net

CCCCONCEPTOS ONCEPTOS ONCEPTOS ONCEPTOS BBBBÁSICOSÁSICOSÁSICOSÁSICOS2222

>Art.3 LOPD, Art.5 RDLOPD: “Cualquier información, numérica alfabética, gráfica, fotográfica acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”

DATO DE CARÁCTER PERSONALDATO DE CARÁCTER PERSONALDATO DE CARÁCTER PERSONALDATO DE CARÁCTER PERSONAL

No es aplicable a personas jurídicas, empresarios individuales, personas de contacto de las empresas, empresas con el nombres de personas si se utilizan con finalidades de mantener la relación empresarial. (B2B, nunca


Ejemplo: Nombre, DNI, profesión, aficiones, gustos, datos bancarios, talla ropa, huella, fotografía, radiografía, e-mail y cualquier otro tipo de información que esté vinculada a una persona física.

finalidades de mantener la relación empresarial. (B2B, nunca B2C)

w w w . Asalv

o.net


> Art.3 LOPD, Art.5 RDLOPD: “Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.

FICHEROFICHEROFICHEROFICHERO

Ejemplo: Un fichero es tanto el conjunto de fotocopias de DNI


Ejemplo: Un fichero es tanto el conjunto de fotocopias de DNI de los clientes de un hotel, como las más sofisticada base de datos de clientes de una empresa multinacional en forma automatizada.

w w w . Asalv

o.net


> Art.3.LOPD, Art.5 RDLOPD : “Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación y conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

TRATAMIENTO DE DATOSTRATAMIENTO DE DATOSTRATAMIENTO DE DATOSTRATAMIENTO DE DATOS


comunicaciones, consultas, interconexiones y transferencias.

Ejemplo: Cualquier tipo de operación con datos personales; el simple hecho de recoger datos de carácter personal, la generación de facturas de clientes, confección de nóminas de empleados…

w w w . Asalv

o.net


> Art.3 LOPD, Art.5 RDLOPD: “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamento con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados”.

RESPONSABLE DEL FICHERO O DEL TRATAMIENTORESPONSABLE DEL FICHERO O DEL TRATAMIENTORESPONSABLE DEL FICHERO O DEL TRATAMIENTORESPONSABLE DEL FICHERO O DEL TRATAMIENTO


Empresa

Dirección

Trabajadores Trabajadores Trabajadores

Dirección Dirección

Fichero 1 Fichero 2 Fichero 3

Responsable de Ficheros

Usuarios de Ficheros

Responsables internos de Ficheros

Ejemplo: Normalmente es la propia empresa la que se declara ante la APD como Responsable del fichero.

w w w . Asalv

o.net


> Art.3 LOPD: “Persona física o jurídica, pública o privada, u órgano administrativo que, sólo o conjuntamente con otros , trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio

Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el trófico como sujetos

ENCARGADO DE TRATAMIENTOENCARGADO DE TRATAMIENTOENCARGADO DE TRATAMIENTOENCARGADO DE TRATAMIENTO


personalidad jurídica que actúen en el trófico como sujetos diferenciados”.

Empresa

Gestoría

Alojamiento Web

Informática

Nóminas

Ejemplo: En ocasiones, la persona que efectúa el tratamiento de los datos no es el propio responsable del fichero, sino un tercero al que éste contrata para que realice una tarea en su nombre. Por ejemplo la externalización de la gestión de nóminas, contabilidad, servicio informático...

w w w . Asalv

o.net

AFECTADO O INTERESADOAFECTADO O INTERESADOAFECTADO O INTERESADOAFECTADO O INTERESADO


> Art.3.LOPD: “persona física titular de los datos que sean

objeto del tratamiento.”

Ejemplo: En esta definición entraríamos todas las personas de las que se pueden obtener datos; cliente, empleado, proveedor…. Es importante


pueden obtener datos; cliente, empleado, proveedor…. Es importante aclarar que el titular de los datos no es quien los posee en un fichero sino la persona a la que se refieren esos datos.

w w w . Asalv

o.net

RESPONSABLE DE SEGURIDADRESPONSABLE DE SEGURIDADRESPONSABLE DE SEGURIDADRESPONSABLE DE SEGURIDAD


> Art.3.LOPD: “la persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.”

Ejemplo: Es la persona interna de la compañía, designada por el responsable del fichero, encargada de controlar y coordinar


el responsable del fichero, encargada de controlar y coordinar las medidas de seguridad que se hayan implementado en la compañía. Normalmente suele ser el responsable de informática. No tiene responsabilidad de cara al exterior.

w w w . Asalv

o.net

FUENTES ACCESIBLES AL PÚBLICOFUENTES ACCESIBLES AL PÚBLICOFUENTES ACCESIBLES AL PÚBLICOFUENTES ACCESIBLES AL PÚBLICO


> Art.3.J)LOPD: “Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección


título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo (nº de colegiado, fecha incorporación y situación del ej. Profesional).Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación social”

w w w . Asalv

o.net










w w w . Asalv

o.net

CALIDADCALIDADCALIDADCALIDAD

3333

Toma de datosToma de datosToma de datosToma de datos1. “… adecuados, pertinentes y no excesivos en relación con el

ámbito y las finalidades determinadas,…”

2. “… no podrán usarse para finalidades incompatibles para las que fueron recogidos.”

3. “… serán exactos y puestos al día de acuerdo a la situación

PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....


3. “… serán exactos y puestos al día de acuerdo a la situación actual del afectado. ”

Mantenimiento de datosMantenimiento de datosMantenimiento de datosMantenimiento de datos

4. “.. datos inexactos o incompletos serán cancelados y sustituidos de oficio por los datos rectificados o completados”

CancelaciónCancelaciónCancelaciónCancelación

5. “.. serán cancelados cuando dejen de ser necesarios o pertinentes para la finalidad….”

w w w . Asalv

o.net

INFORMACIONINFORMACIONINFORMACIONINFORMACION

3333

¿De qué debemos informar ?¿De qué debemos informar ?¿De qué debemos informar ?¿De qué debemos informar ?

1. De la existencia de un fichero o tratamiento de datos de carácter personal, finalidad de la recogida y destinatarios de la información.

2. Del carácter obligatorio o facultativo de su respuesta

3. De las consecuencias de la obtención de los datos ó de la



3. De las consecuencias de la obtención de los datos ó de la negativa a darlos.

4. De la identidad y dirección del responsable del tratamiento.

5. Derechos de los afectados.

¿Cuándo debemos informar ?¿Cuándo debemos informar ?¿Cuándo debemos informar ?¿Cuándo debemos informar ?

Previamente al tratamiento de datos!!!!

w w w . Asalv

o.net

3333

ExcepcionesExcepcionesExcepcionesExcepciones

1. Cuando una ley expresamente lo prevea.

Si los datos no han sido recabados del propio interesado, datos no han sido recabados del propio interesado, datos no han sido recabados del propio interesado, datos no han sido recabados del propio interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero, dentro de los 3 meses siguientes al registro de los datos.




1. Cuando una ley expresamente lo prevea.

2. Fines históricos, estadísticos ó científicos.

3. Cuando informar al interesado resulte imposible o exija esfuerzos desproporcionados.

4. Datos procedentes de fuentes accesibles al público y destinados a publicidad o prospección comercial. Aunque en cada comunicación dirigida al interesado deberá informar sobre el origen de los datos, identidad del responsable del fichero y los derechos del afectado..

w w w . Asalv

o.net

3333

El artículo 18 del RLOPD establece que el deber de informacióndeber de informacióndeber de informacióndeber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

Además indica que el responsable de tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar, permitiendo




soporte en el que conste el cumplimiento del deber de informar, permitiendo en almacenamiento en soportes informáticos o telemáticos. (ej. digitalización de originales.)

w w w . Asalv

o.net

CONSENTIMIENTO DEL AFECTADOCONSENTIMIENTO DEL AFECTADOCONSENTIMIENTO DEL AFECTADOCONSENTIMIENTO DEL AFECTADO

3333


1. Datos recogidos para el ejercicio de las funciones propias de las

El tratamiento de los datos requerirá el consentimiento inequívoco del afectado.



1. Datos recogidos para el ejercicio de las funciones propias de las Administraciones públicas.

2. Formen parte de un contrato o precontrato de una relación negocial, laboral o administrativa.

3. Fin proteger un interés vital del interesado

4. Datos procedentes de fuentes accesibles al público

w w w . Asalv

o.net


3333

1. Conceder al afectado un plazo prudencial (30 días) para que

(NUEVO)(NUEVO) Consideraciones para la obtención del consentimiento tácito.



1. Conceder al afectado un plazo prudencial (30 días) para que pueda tener pleno conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo.

2. Acreditar la recepción por parte del afectado de la comunicación para el tratamiento de sus datos personales. (Acuses de recibo)

3. Establecer una forma ágil y gratuito para que el afectado puede oponerse al tratamiento de sus datos de carácter personal. (Envío prefranqueado o número de teléfono gratuito)

w w w . Asalv

o.net


3333

1. Mayores de 14 años: Consentimiento del propio menor, sal voe en aquellos casos que la Ley exija para us prestación la asistencia de los titulares de la patria potestad o tutela.

2. Menores de 14 años: Consentimiento de los padres o tutores.

3. En ningún caso se podrán recabar datos que permitan obtener

(NUEVO)(NUEVO) Consentimiento para el tratamiento de datos de menores



3. En ningún caso se podrán recabar datos que permitan obtener información sobre los datos del grupo familiar. Características, profesión progenitores, actividad económica, sociológicos u otros datos sin consentimiento. (Sí, datos de identidad y dirección del padre, madre o tutor)

4. Cuando el tratamiento se refiera a menores de edad, la información dirigida a ellos debe ser fácilmente comprensible.

5. Será responsabilidad del responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado la edad del menor, autenticidad del consentimiento.

w w w . Asalv

o.net

DATOS ESPECIALMENTE PROTEGIDOSDATOS ESPECIALMENTE PROTEGIDOSDATOS ESPECIALMENTE PROTEGIDOSDATOS ESPECIALMENTE PROTEGIDOS

3333

Ideología, Religión o CreenciasIdeología, Religión o CreenciasIdeología, Religión o CreenciasIdeología, Religión o Creencias

� Cuando se proceda a recoger el consentimiento se deberá informar al interesado sobre su derecho a no prestarlo.

� Se requiere el consentimiento expreso y por escrito del afectado.

Excepto: Ficheros de partidos políticos, sindicatos, iglesias, confesiones…



Excepto: Ficheros de partidos políticos, sindicatos, iglesias, confesiones…

Origen Racial, Salud y Vida SexualOrigen Racial, Salud y Vida SexualOrigen Racial, Salud y Vida SexualOrigen Racial, Salud y Vida Sexual

Sólo podrán ser recabados, tratados y cedidos cuando:

� una ley lo disponga

� se disponga del consentimiento expreso del afectado.

w w w . Asalv

o.net

DATOS ESPECIALMENTE PROTEGIDOSDATOS ESPECIALMENTE PROTEGIDOSDATOS ESPECIALMENTE PROTEGIDOSDATOS ESPECIALMENTE PROTEGIDOS

3333

ProhibiciónProhibiciónProhibiciónProhibición

Crear ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen datos especialmente protegidos.

Tratamiento especialTratamiento especialTratamiento especialTratamiento especial



Podrán ser tratados aquellos datos que siendo especialmente protegidos resulten necesarios para

� la prevención o diagnóstico médico.

� gestión de servicios sanitarios.

Siempre que sea realizado por un profesional sanitario u otra persona sujeta a secreto profesional.

w w w . Asalv

o.net

SEGURIDAD DE LOS DATOSSEGURIDAD DE LOS DATOSSEGURIDAD DE LOS DATOSSEGURIDAD DE LOS DATOS

3333

“ El responsable del fichero, y en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal ….”



Todas estas medidas se encuentran regladas y determinadas por:

� el REGLAMENTO DE MEDIDAS DE SEGURIDAD 994/1999. (actualmente)

� el REGLAMENTO DE DESARROLLO DE LA LOPD RD 1720/2007. (A partir del 19 de abril de 2007)

w w w . Asalv

o.net

3333

“ El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

DEBER DE SECRETODEBER DE SECRETODEBER DE SECRETODEBER DE SECRETO



Forma de llevarlo a cabo :::Forma de llevarlo a cabo :::Forma de llevarlo a cabo :::Forma de llevarlo a cabo :::

� Cláusulas de confidencialidad en los contratos de los trabajadores.

� Contratos de confidencialidad con empresas encargadas de tratamiento.

w w w . Asalv

o.net

CESION O COMUNICACIÓN DE DATOSCESION O COMUNICACIÓN DE DATOSCESION O COMUNICACIÓN DE DATOSCESION O COMUNICACIÓN DE DATOS

3333

CesiónCesiónCesiónCesión

“ Toda revelación de datos realizada a una persona distinta del interesado. “



Dicha revelación debe cumplir:

• sólo se pueden realizar dicha cesión para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario.

• el cesionario debe contar con el previo consentimiento del interesado.

w w w . Asalv

o.net


3333


> Cesión autorizada en una ley.

> Datos recogidos de fuentes accesibles al público.

> El tratamiento responde a una libre y legítima aceptación de una relación

No se necesitará el consentimientoNo se necesitará el consentimientoNo se necesitará el consentimientoNo se necesitará el consentimiento ….



> El tratamiento responde a una libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique la conexión de dicho tratamiento con fichero de terceros.

> Cesión al Defensor del Pueblo, Ministerio Fiscal, Jueces, Tribunales ó Tribunales de Cuentas, en el ejercicio de sus funciones.

> Cesión entre Administraciones públicas, y tenga por objeto fines históricos, estadísticos o científicos.

> Necesarios para solucionar una urgencia de salud ó estudios epidemiológicos.

w w w . Asalv

o.net


3333

Se considera consentimiento nulo cuando no consta la finalidad a la que se destinarán los datos o la actividad de aquel a quien se pretenden comunicar.

Consentimiento nuloConsentimiento nuloConsentimiento nuloConsentimiento nulo

Otras consideracionesOtras consideracionesOtras consideracionesOtras consideraciones



> El consentimiento para la comunicación de datos tiene carácter revocable.

> El cesionario debe también cumplir con los preceptos de la Ley.

> Si previo a la comunicación se produce disociación no es aplicable lo establecido para la cesión ó comunicación de datos.

w w w . Asalv

o.net

ACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROS

3333

Se produce cuando es necesario acceder a los datos por parte de un tercero para la prestación de un servicio, que deberá estar regulada por un contrato.

ESTA ACCION NO SE CONSIDERA CESION O COMUNICACIÓN DE DATOS, y por tanto no requerirá del consentimiento del afectado, aunque no nos

Acceso de un tercero a datosAcceso de un tercero a datosAcceso de un tercero a datosAcceso de un tercero a datos



y por tanto no requerirá del consentimiento del afectado, aunque no nos exime del deber de informarle.

Nuevos elementosNuevos elementosNuevos elementosNuevos elementos

> Encargado del tratamiento. Encargado del tratamiento. Encargado del tratamiento. Encargado del tratamiento. Se encargará de tratar datos por cuenta del responsable del fichero, deberá cumplir con las medidas establecidas en el Reglamento 994/1999.

> Contrato de prestación de Servicios. Contrato de prestación de Servicios. Contrato de prestación de Servicios. Contrato de prestación de Servicios. Contrato de Outsourcing en el que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

w w w . Asalv

o.net


3333

Novedades en el RLOPDNovedades en el RLOPDNovedades en el RLOPDNovedades en el RLOPD

> Relaciones entre partes. Relaciones entre partes. Relaciones entre partes. Relaciones entre partes. Se habla del carácter remunerado o no del servicio, de fijar la duración del encargo y la obligación del responsable del fichero de velar por el cumplimiento de las garantías de lo dispuesto en la LOPD.



LOPD.

>Conservación de datos por el encargado tratamiento. Conservación de datos por el encargado tratamiento. Conservación de datos por el encargado tratamiento. Conservación de datos por el encargado tratamiento.

> No se destruirán los datos por parte del encargado si legalmente se exige su conservación.

> Autoriza a conservar datos al encargado siempre que otras responsabilidades relaciones con la relación negocial o contractual puedan exigirlo.

w w w . Asalv

o.net


3333

Novedades en el RLOPDNovedades en el RLOPDNovedades en el RLOPDNovedades en el RLOPD

> Subcontratación. Subcontratación. Subcontratación. Subcontratación. El encargado de tratamiento podrá subcontratar siempre que existan garantías del cumplimiento de la LOPD por el subcontratista, se informe al responsable de fichero y además se firme un contrato entre encargado de tratamiento y subcontratista.



encargado de tratamiento y subcontratista.

> Otras cuestiones. Otras cuestiones. Otras cuestiones. Otras cuestiones.

> Ejercicio de derechos.Ejercicio de derechos.Ejercicio de derechos.Ejercicio de derechos. Puede pactarse entre el responsable de fichero y el encargado de tratamiento que sea este último quién resuelva las peticiones de ejercicio de derecho.

w w w . Asalv

o.net

3333

CCCCesiónesiónesiónesión AAAAcceso de un cceso de un cceso de un cceso de un ttttercero a ercero a ercero a ercero a ddddatosatosatosatos

FINALIDAD Comunicar los datos a una persona distinta del interesado

Externalizar servicios. Se encarga un tratamiento específico a un tercero.

REQUISITOS SIEMPRE. Se realiza por parte del Resp. Del Fichero en la

SIEMPRE. Además si es posible hacerlo

CESION vs ACCESO POR CUENTA DE TERCEROSCESION vs ACCESO POR CUENTA DE TERCEROSCESION vs ACCESO POR CUENTA DE TERCEROSCESION vs ACCESO POR CUENTA DE TERCEROS



del Resp. Del Fichero en la toma de datos. “Tratamiento de datos y finalidad”

Expreso. (Con excepciones)

No es necesario. Requiere de un Contrato que regula la relación.

Informaciónes posible hacerlo desde el inicio de la relación MEJOR.

Consentimiento

EJEMPLO Cesión de datos de clientes a empresas de un mismo grupo empresarial

Externalización de la elaboración de nóminas de nuestros trabajadores

w w w . Asalv

o.net










w w w . Asalv

o.net

DDDDERECHOS ERECHOS ERECHOS ERECHOS DDDDE E E E LLLLOS OS OS OS AAAAFECTADOSFECTADOSFECTADOSFECTADOS4444

DERECHO DE ACCESODERECHO DE ACCESODERECHO DE ACCESODERECHO DE ACCESO


w w w . Asalv

o.net


DERECHO DE RECTIFICACIÓNDERECHO DE RECTIFICACIÓNDERECHO DE RECTIFICACIÓNDERECHO DE RECTIFICACIÓN


w w w . Asalv

o.net


DERECHO DE CANCELACIÓNDERECHO DE CANCELACIÓNDERECHO DE CANCELACIÓNDERECHO DE CANCELACIÓN


w w w . Asalv

o.net


NOVEDADES RLOPDNOVEDADES RLOPDNOVEDADES RLOPDNOVEDADES RLOPD

> La expresa mención del carácter personal de los derechos.

> Posibilidad de que una persona distinta del afectado pueda ejercitar un derecho, siempre que lo haga de forma autorizada por el titular.

> El procedimiento de cancelación de datos en caso de titulares de fallecidos por parte de familiares o el ejercicio del derecho de acceso en caso


fallecidos por parte de familiares o el ejercicio del derecho de acceso en caso de defunción del interesado.

> La tendencia a que el interesado no deba soportar coste alguno a la hora de ejercer sus derechos. (Las empresas deben poner especial precaución en estos procedimientos para garantizar la seguridad jurídica)

> La posibilidad de ejercitar los derechos ante un encargado de tratamiento, siempre bajo un pacto. En caso contrario, el encargado de tratamiento deberá poner en conocimiento del responsable de fichero la petición para que éste pueda gestionarlar.

w w w . Asalv

o.net










w w w . Asalv

o.net

OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.5555

REGISTRO DE FICHEROSREGISTRO DE FICHEROSREGISTRO DE FICHEROSREGISTRO DE FICHEROS

IdentificaciónIdentificaciónIdentificaciónIdentificación dededede datosdatosdatosdatos

dededede caráctercaráctercaráctercarácter personalpersonalpersonalpersonal....�Tratamiento manual

�Tratamiento automatizado

Clasificación Clasificación Clasificación Clasificación según según según según niveles de niveles de niveles de niveles de

�Básico

�Medio


según según según según niveles de niveles de niveles de niveles de seguridadseguridadseguridadseguridad....

�Medio

�Alto

Inscripción de los Inscripción de los Inscripción de los Inscripción de los ficheros en la AEPD.ficheros en la AEPD.ficheros en la AEPD.ficheros en la AEPD.

�NONONONO datos, SISISISI tipología

�Responsable del fichero

�Encargado de tratamiento

�Dirección para ejercitar derechos

�Finalidad del fichero

w w w . Asalv

o.net

NIVELES DE SEGURIDADNIVELES DE SEGURIDADNIVELES DE SEGURIDADNIVELES DE SEGURIDAD

5555

�Identificativos

�Características personales.

�Circunstancias sociales

�Académicos y profesionalesNIVELNIVELNIVELNIVEL BÁSICOBÁSICOBÁSICOBÁSICO

OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.


�Empleo y puestos de trabajo

�Información comercial

�Económico-financiera

�Transacciones.

EJEMPLO: EJEMPLO: EJEMPLO: EJEMPLO: Ficheros de clientes,, ficheros de facturación, fichero actividades de ocio, ficheros de videovigilancia...

w w w . Asalv

o.net


5555 OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.

� Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual

1) Única finalidad: transferencias dinerarias de entidades a las que los afectados sean

Art. 81 RDLOPDArt. 81 RDLOPDArt. 81 RDLOPDArt. 81 RDLOPD : Aplicable a ficheros, cualquiera que sea su sistema de tratamiento


NIVELNIVELNIVELNIVEL BÁSICOBÁSICOBÁSICOBÁSICOentidades a las que los afectados sean asociados/miembros. 2) Tratamiento no automatizado en los que de forma incidental se contengan aquellos datos sin guardar relación con su finalidad.

� Datos de salud referentes exclusivamente al grado de discapacidad, declaración de la cóndición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

w w w . Asalv

o.net



�Hacienda Pública.

�Servicios Financieros.

�Solvencia patrimonial y crédito.

�Infracciones penales y administrativas.

�Evaluación de la personalidad del individuo.NIVELNIVELNIVELNIVEL MEDIOMEDIOMEDIOMEDIO


�Ficheros de Entidades Gestoras y Servicios Comunes de la Seguridad Social.

� Ficheros de mutuas de accidentes de trabajo y enfermedades profesionales de la Seg. Soc.

EJEMPLO: EJEMPLO: EJEMPLO: EJEMPLO: Ficheros de scoring, listas de morosidad, test psicotécnico, fichero de cotización a la seguridad social...

Art. 81 RDLOPD

w w w . Asalv

o.net



�Salud

�Vida sexual

�Ideología

�Creencias

�Afiliación sindical

NIVELNIVELNIVELNIVEL ALTOALTOALTOALTO


�Afiliación sindical

�Religión

� Origen Racial

� Datos para fines policiales sin consentimiento del afectado.

EJEMPLO:EJEMPLO:EJEMPLO:EJEMPLO: Clientes de una clínica , fichero de clientes de un hotel con problemas de salud, fichero residencia geriátrica ..

w w w . Asalv

o.net



�Datos derivados de actos de violencia de género.NIVELNIVELNIVELNIVEL ALTOALTOALTOALTO


�Datos de tráfico y localización de operadoras de comunicaciones.Art. 81 RDLOPD

EJEMPLO:EJEMPLO:EJEMPLO:EJEMPLO: Fichero de acogida a mujeres maltratadas.

w w w . Asalv

o.net

MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDAD


MEDIDAS ORGANIZATIVAS IMEDIDAS ORGANIZATIVAS IMEDIDAS ORGANIZATIVAS IMEDIDAS ORGANIZATIVAS I

• Documento de seguridad:Documento de seguridad:Documento de seguridad:Documento de seguridad: Recoge medidas técnicas y organizativas. Formalizar delegaciones de funciones, autorizaciones por escrito para el tratamiento de datos fuera de los locales.


•Funciones y obligaciones de todo el personal: Funciones y obligaciones de todo el personal: Funciones y obligaciones de todo el personal: Funciones y obligaciones de todo el personal: informar, confidencialidad, deber de secreto, destrucción ficheros temporales... Definirlas por usuario o por perfiles. Reflejar funciones y obligaciones de terceros con acceso a datos.

•Responsable de seguridad y Responsable de ficheroResponsable de seguridad y Responsable de ficheroResponsable de seguridad y Responsable de ficheroResponsable de seguridad y Responsable de fichero: Describir estructura y características de ficheros, asegurar registro en APD, asegurar cumplimiento de documento de seguridad...

w w w . Asalv

o.net



MEDIDAS ORGANIZATIVAS IIMEDIDAS ORGANIZATIVAS IIMEDIDAS ORGANIZATIVAS IIMEDIDAS ORGANIZATIVAS II

•Notificación y gestión de incidencias. Notificación y gestión de incidencias. Notificación y gestión de incidencias. Notificación y gestión de incidencias. Establecer y documentar un procedimiento de notificación y gestión de incidencias, incluyéndolo en el D.S. y habilitando un registro de las mismas.

•Gestión de soportesGestión de soportesGestión de soportesGestión de soportes: Los soportes (CD, disquetes, papel, discos duros...) deben estar identificados y se registrará su entrada y salida. Las salidas


deben estar identificados y se registrará su entrada y salida. Las salidas deberán estar autorizadas por el Responsable de ficheros. También se registrará la E/S y se autorizará la salida de documentos en papel y los correos electrónicos con datos de carácter personal. Archivo de soportes o documentos no automatizados garantizando su conservación, localización y fácil consulta

w w w . Asalv

o.net



MEDIDAS ORGANIZATIVAS IIIMEDIDAS ORGANIZATIVAS IIIMEDIDAS ORGANIZATIVAS IIIMEDIDAS ORGANIZATIVAS III

•Control de acceso físico: Control de acceso físico: Control de acceso físico: Control de acceso físico: Restringir y controlar acceso a estancias con soportes que contengan datos especialmente protegidos para personal propio y ajeno. Control de acceso a lugares donde se ubiquen los servidores. Limitación de acceso y medidas de identificación a dispositivos no automatizados.


•Auditoría: Auditoría: Auditoría: Auditoría: Periodicidad Bianual.Detección de desviaciones. Auditoría extraordinaria si existen modificaciones sustanciales en el S.I.

•Copias de documentos o soportes no automatizados:Copias de documentos o soportes no automatizados:Copias de documentos o soportes no automatizados:Copias de documentos o soportes no automatizados: Control por personal autorizado.

•Registro de accesos a información no automatizada Registro de accesos a información no automatizada Registro de accesos a información no automatizada Registro de accesos a información no automatizada (N. Alto)

w w w . Asalv

o.net



MEDIDAS TÉCNICAS IMEDIDAS TÉCNICAS IMEDIDAS TÉCNICAS IMEDIDAS TÉCNICAS I

•Identificación y autenticación:Identificación y autenticación:Identificación y autenticación:Identificación y autenticación: Mecanismo de seguridad que asigna una identidad única a cada usuario (identificación) y la comprueba (autenticación). Incluye el procedimiento de gestión, comunicación confidencial, almacenamiento inteligible y validez de las contraseñas (no superior a un año).Medidas de identificación para acceso a información no automatizada. Reflejar en el D.S el usuario o perfil que puede modificar los


automatizada. Reflejar en el D.S el usuario o perfil que puede modificar los accesos sobre los recursos.

•Control de acceso lógico:Control de acceso lógico:Control de acceso lógico:Control de acceso lógico: Cada usuario debe tener acceso sólo a la información que necesita para su trabajo. Medidas de identificación de accesos a documentos (cuando accedan varios usuarios)

w w w . Asalv

o.net



MEDIDAS TÉCNICAS IIMEDIDAS TÉCNICAS IIMEDIDAS TÉCNICAS IIMEDIDAS TÉCNICAS II

•Copias de respaldo y recuperación: Copias de respaldo y recuperación: Copias de respaldo y recuperación: Copias de respaldo y recuperación: Realizar copias de seguridad que aseguren la recuperación de la información si fuera necesario.Verificación semestral de las copias y recuperación.

•Gestión de soportes. Gestión de soportes. Gestión de soportes. Gestión de soportes. Impedir el acceso, pérdida o robo de


•Gestión de soportes. Gestión de soportes. Gestión de soportes. Gestión de soportes. Impedir el acceso, pérdida o robo de soportes en su traslado y distribución. Impedir acceso o recuperación da datos de soportes reutilizados o desechados. Identificación de soportes y tipo de información que contiene de forma incomprensible para el personal no autorizado. Cifrado de dispositivos portátiles para el tratamiento de datos fuera de las instalaciones.

w w w . Asalv

o.net



MEDIDAS TÉCNICAS IIIMEDIDAS TÉCNICAS IIIMEDIDAS TÉCNICAS IIIMEDIDAS TÉCNICAS III

•Registro de accesos: Registro de accesos: Registro de accesos: Registro de accesos: Para datos de nivel alto, se registrará a que información se accede, quien accede , cuando y cómo. Conservación de 2 años de los registros.


•Pruebas con datos reales:Pruebas con datos reales:Pruebas con datos reales:Pruebas con datos reales: Si se realizan pruebas de los sistemas con datos reales, se deben asegurar el nivel de seguridad del fichero tratado. Realizar copias de seguridad de pruebas con datos reales.

•Telecomunicaciones:Telecomunicaciones:Telecomunicaciones:Telecomunicaciones: Para datos de nivel alto trasmitidos a través de la red se debe cifrar la información.

w w w . Asalv

o.net



w w w . Asalv

o.net

FORMACIÓN DEL PERSONALFORMACIÓN DEL PERSONALFORMACIÓN DEL PERSONALFORMACIÓN DEL PERSONAL


FASESFASESFASESFASES MOMENTOMOMENTOMOMENTOMOMENTO OBJETIVO

•Concienciación:Concienciación:Concienciación:Concienciación: Al inicio del proyecto de adaptación

Involucrar al personal

Una vez Dar a conocer todas las


•Formación:Formación:Formación:Formación:

Una vez desarrollado el D.S.

Dar a conocer todas las normas, funciones y obligaciones recogidas en el D.S. Así como las medidas técnicas y organizativas implantadas

•Formación Formación Formación Formación continuada:continuada:continuada:continuada:

Modificación del D.S., nuevas incorporaciones

Mantener al día las medidas implantas y que no caiga en desuso.

w w w . Asalv

o.net










w w w . Asalv

o.net

AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666

QQQQué es?ué es?ué es?ué es?

• Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada.

• Actúa con independencia de las Administraciones Públicas en el

https://https://https://https://www.agpd.eswww.agpd.eswww.agpd.eswww.agpd.es


• Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones.

SSSSede:ede:ede:ede: • Agencia Española de Protección de datos Agencia Española de Protección de datos Agencia Española de Protección de datos Agencia Española de Protección de datos C/ Jorge Juan, 6C/ Jorge Juan, 6C/ Jorge Juan, 6C/ Jorge Juan, 628004280042800428004----MadridMadridMadridMadrid

w w w . Asalv

o.net


CCCCompetencias ompetencias ompetencias ompetencias y Fy Fy Fy Funciones :::unciones :::unciones :::unciones :::

Potestad inspectora

Potestad para inmovilizar ficheros

Potestad para elaborar normas


CCCCompetencias ompetencias ompetencias ompetencias y Fy Fy Fy Funciones :::unciones :::unciones :::unciones ::: Potestad para inmovilizar ficheros

Potestad sancionadora

Potestad para atender y facilitar los derechos de los afectados

w w w . Asalv

o.net


TTTTutela de utela de utela de utela de dddderechoserechoserechoserechos

Titular de los datos:Titular de los datos:Titular de los datos:Titular de los datos: APD:APD:APD:APD: Director de la APDDirector de la APDDirector de la APDDirector de la APD

PROCEDIMIENTO . TUTELA DE DERECHOSPROCEDIMIENTO . TUTELA DE DERECHOSPROCEDIMIENTO . TUTELA DE DERECHOSPROCEDIMIENTO . TUTELA DE DERECHOS

“Se produce cuando un ciudadano requiere a la APD su amparo y protección porque opina que se ha vulnerado alguno de sus derechos”


Titular de los datos:Titular de los datos:Titular de los datos:Titular de los datos:

Redacta un escrito de reclamación a la APD indicando:

�Contenido de la reclamación.

�Artículos de la Ley vulnerados.

APD:APD:APD:APD:

Traslado de la reclamación al Responsable del Fichero para su alegación en el plazo de 15 días.

Director de la APDDirector de la APDDirector de la APDDirector de la APD

Resolución de la reclamación, en el plazo máximo de 6 meses.

“Sí ha lugar la resolución”,“Sí ha lugar la resolución”,“Sí ha lugar la resolución”,“Sí ha lugar la resolución”,se tutela el derecho vulnerado y se decide si se abre PROCEDIMIENTO PROCEDIMIENTO PROCEDIMIENTO PROCEDIMIENTO SANCIONADORSANCIONADORSANCIONADORSANCIONADOR.

w w w . Asalv

o.net


SSSSancionadorancionadorancionadorancionador

“Se inicia como consecuencia de una denuncia y puede desembocar en sanciones.”

Previo a la inspecciónse notifica a la

Para realizar la inspecciónse presentarán dos

Al finalizar, redactaran un Acta de Inspección que la

PROCEDIMIENTO SANCIONADORPROCEDIMIENTO SANCIONADORPROCEDIMIENTO SANCIONADORPROCEDIMIENTO SANCIONADOR


se notifica a la empresa de:

�La inspección a realizar

�Día y hora de la inspección

se presentarán dos inspectores que:

�Deben acreditar su identidad y mostrar su autorización.

�Inspeccionaran equipos físicos y lógicos.

Acta de Inspección que la firmará el Responsable del Fichero.

Si se detecta alguna infracción, se abrirá procedimiento sancionador por acuerdo del Director de la APD. Notificándose al impugnado y denunciante para la toma de medidas

w w w . Asalv

o.net


IIIInfracciones. nfracciones. nfracciones. nfracciones. LLLLEVES EVES EVES EVES ((((Art. 44.2 LOPDArt. 44.2 LOPDArt. 44.2 LOPDArt. 44.2 LOPD)))) ::::::::::::

• No atender las solicitudes de rectificación y cancelación

• No colaborar con la APD en sus requerimientos

INFRACCIONESINFRACCIONESINFRACCIONESINFRACCIONES


• No colaborar con la APD en sus requerimientos

• No inscribir los ficheros en el Registro

• No informar a los interesados (art. 5 LOPD)

• Incumplir con el deber de secreto

w w w . Asalv

o.net


IIIInfracciones. nfracciones. nfracciones. nfracciones. GGGGRAVES RAVES RAVES RAVES ((((Art. 44.3 LOPDArt. 44.3 LOPDArt. 44.3 LOPDArt. 44.3 LOPD) ) ) ) ::::::::::::

• Crear ficheros con finalidades distintas a las que constituyen el objeto legítimo de la empresa• Recabar datos sin consentimiento expreso

• Tratar los datos de manera no leal con los principios y garantías legales

• Impedimento de los ejercicios de acceso y oposición


• Impedimento de los ejercicios de acceso y oposición

• Mantener datos inexactos

• No modificar o cancelar datos cuando proceda

• Vulnerar deber de secreto para el nivel medio

• Mantener ficheros sin medidas de seguridad

• Obstrucción de la acción inspectora de la APD

• No inscribir ficheros bajo requerimiento

• Incumplimiento deber información cuando se recaben datos de terceros

w w w . Asalv

o.net


IIIInfracciones. nfracciones. nfracciones. nfracciones. MMMMUY UY UY UY GGGGRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPD) ) ) ) ::::::::::::

• Recogida de datos fraudulenta o engañosa

• Cesión de datos ilegal

• Recabar datos especialmente protegidos de manera ilegal

• No cesar en el uso de datos ilegítimos bajo requerimiento APD


• No cesar en el uso de datos ilegítimos bajo requerimiento APD

• No atender de forma reiterada los derechos de acceso, rectificación,

cancelación y oposición

• No atender de forma sistemática el deber de notificación de ficheros a la

APD

w w w . Asalv

o.net


IIIInfracciones. nfracciones. nfracciones. nfracciones. MMMMUY UY UY UY GGGGRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPD) ) ) ) ::::::::::::

•Transferencia de datos a países que no proporcionen un nivel de

protección equiparable sin autorización del Director de la Agencia de

Protección de Datos

• Tratamiento de datos de forma ilegítima o con menosprecio de los


• Tratamiento de datos de forma ilegítima o con menosprecio de los

principios y garantías aplicables

• Vulneración del deber de secreto de los datos especialmente protegidos

w w w . Asalv

o.net


SANCIONESSANCIONESSANCIONESSANCIONES

Sanción MínimaSanción MínimaSanción MínimaSanción Mínima Sanción máximaSanción máximaSanción máximaSanción máxima


LevesLevesLevesLeves 100.000 ptas 601.01 € 10.000.000 ptas

60.101,21 €

GravesGravesGravesGraves 10.000.001ptas 60.101,21 € 50.000.000 ptas

300.506,05 €

Muy Muy Muy Muy GravesGravesGravesGraves

50.000.001ptas 300.506,05 € 100.000.000 ptas

601.012,10 €

w w w . Asalv

o.net










w w w . Asalv

o.net

RRRRECOMENDACIONESECOMENDACIONESECOMENDACIONESECOMENDACIONES7777

I. InformarInformarInformarInformar al titular de los datos, antes de la recogida de información.

II. Ante la duda, pedir el consentimientoconsentimientoconsentimientoconsentimiento para el tratamiento de los datos

y cesiones previstas.

III. Prestar especial atención a datos especialmente protegidos datos especialmente protegidos datos especialmente protegidos datos especialmente protegidos y datos datos datos datos

de menoresde menoresde menoresde menores.

IV. Recordar la importancia de mantener la confidencialidadla confidencialidadla confidencialidadla confidencialidad en el


IV. Recordar la importancia de mantener la confidencialidadla confidencialidadla confidencialidadla confidencialidad en el

tratamiento de datos para preservar la intimidad de los titulares.

V. Facilitar el ejercicio de los derechos de los afectadosderechos de los afectadosderechos de los afectadosderechos de los afectados.

VI. Asegurarnos de la identidad de los interlocutoresidentidad de los interlocutoresidentidad de los interlocutoresidentidad de los interlocutores antes de facilitar

datos de carácter personal.

VII. Regular a través de contratos contratos contratos contratos el acceso a datos por cuenta de

terceros.

w w w . Asalv

o.net

RRRRECOMENDACIONESECOMENDACIONESECOMENDACIONESECOMENDACIONES7777

VIII. Eliminar listados temporalesEliminar listados temporalesEliminar listados temporalesEliminar listados temporales tanto informatizados como en papel

cuando dejen de necesitarse.

IX. Controlar la identificación y autentificación de los usuarios en los

sistemas mediante utilización de usuario y contraseñausuario y contraseñausuario y contraseñausuario y contraseña.

X. Las contraseñas son de uso personal e intransferiblepersonal e intransferiblepersonal e intransferiblepersonal e intransferible.

XI. Los usuarios deberán tener el accesoaccesoaccesoacceso a los sistemas restringidorestringidorestringidorestringido


XI. Los usuarios deberán tener el accesoaccesoaccesoacceso a los sistemas restringidorestringidorestringidorestringido

únicamente a las herramientas que requieran para su trabajo diario.

XII. Registrar las incidenciasRegistrar las incidenciasRegistrar las incidenciasRegistrar las incidencias que se produzcan en los sistemas y que

afecten a datos de carácter personal.

XIII. RegistrarRegistrarRegistrarRegistrar las entradas y salidas de soportessoportessoportessoportes informáticos.

XIV. Realizar copias de seguridadcopias de seguridadcopias de seguridadcopias de seguridad al menos semanalmente y asegurarnos

que es posible la recuperación de los datos.

w w w . Asalv

o.net

UUUURLS de RLS de RLS de RLS de IIIINTERESNTERESNTERESNTERES8888

1. Página de la agencia de protección de datos: https://www.agpd.es.

2. Medidas a implantar según niveles de seguridad: https://www.agpd.es/upload/Informa%20AEPD/cuadro_reglamento1.pdf

3. Modelo del documento de seguridad: https://www.agpd.es/upload/Informa%20AEPD/modelo_doc_seguridad_v1.pdf

4. Ley Orgánica de Protección de datos: http://www.asalvo.net/pdf/LOPD.pdf


4. Ley Orgánica de Protección de datos: http://www.asalvo.net/pdf/LOPD.pdf

5. Real Decreto de Medidas de Seguridad:http://www.asalvo.net/pdf/RD%20994_1999.pdf

6. Reglamento de desarrollo de la LOPD

http://www.asalvo.net/pdf/RD%201720_2007.pdf

7. Formulario Notahttps://www.agpd.es/index.php?idSeccion=606

w w w . Asalv

o.net

RUEGOS Y PREGUNTASRUEGOS Y PREGUNTASRUEGOS Y PREGUNTASRUEGOS Y PREGUNTAS

GRACIAS POR SU ATENCIÓNGRACIAS POR SU ATENCIÓNGRACIAS POR SU ATENCIÓNGRACIAS POR SU ATENCIÓN


GRACIAS POR SU ATENCIÓNGRACIAS POR SU ATENCIÓNGRACIAS POR SU ATENCIÓNGRACIAS POR SU ATENCIÓN

Virtu Pérez; Paqui GalianaVirtu Pérez; Paqui GalianaVirtu Pérez; Paqui GalianaVirtu Pérez; Paqui Galiana

Asalvo consultores S.LAsalvo consultores S.LAsalvo consultores S.LAsalvo consultores S.L[protección de datos y seguridad informática][protección de datos y seguridad informática][protección de datos y seguridad informática][protección de datos y seguridad informática]

[email protected]@[email protected]@asalvo.net

www.asalvo.netwww.asalvo.netwww.asalvo.netwww.asalvo.net

LEY DE PROTECCIÓN DE DATOS PARA CASAS RURALES · w w w . Asalvo.net 1111 NNNNORMATIVA VIGENTE LOPD...

Documents

Transcript of LEY DE PROTECCIÓN DE DATOS PARA CASAS RURALES · w w w . Asalvo.net 1111 NNNNORMATIVA VIGENTE LOPD...