IMPLANTACIÓN DE LOPD EN EMPRESAS

Qué es la LOPD

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), tiene por objeto proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar.

La LOPD establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros automatizados y no automatizados (en papel) que poseen empresas y administraciones públicas, y que son tratados por éstas con diferentes finalidades; gestión de personal, proveedores, clientes, campañas de marketing, etc.

Obligaciones básicas de las empresas

En definitiva, todas las empresas deberán:

Declarar los ficheros automatizados (informáticos) y no automatizados (en papel) con datos de carácter personal a la Agencia de Protección de Datos.

Legitimar los datos personales de que dispone mediante el cumplimiento de los siguientes principios de la LOPD:

  • Principio del consentimiento del afectado.
  • Principio de información al afectado.
  • Principio de calidad de los datos.

Proteger los ficheros automatizados y no automatizados para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad.

Como aspectos básicos se requiere:

  • Disponer de un Documento de Seguridad.
  • Definir e implantar los Procedimientos requeridos.
  •  Nombrar un Responsable de Seguridad (si se dispone de datos de nivel medio o alto).
  • Formar y concienciar en materia de seguridad de la información a todo el personal que gestione datos personales.

Cumplir con las Medidas de Seguridad según el tipo o nivel de datos disponga. Determinadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal.

Obligaciones LOPD

Régimen sancionador

LEVES:

  • No atender la solicitud de rectificación o cancelación por motivos formales.
  • No proporcionar información a la APD.
  • No solicitar inscripción de fichero en el RGPD (puede ser infracción grave).
  • Recoger datos sin proporcionar información a los afectados.
  • Incumplir el deber de secreto (puede ser infracción grave).

Se sancionan con multas de 601€ a 60.100€

 

GRAVES:

  • Recoger datos personales sin consentimiento expreso de los afectados.
  • Tratar de usar datos de carácter personal incumpliendo la legislación (puede ser infracción muy grave).
  • Mantener datos inexactos, sin rectificar o cancelar.
  • Mantener ficheros, locales, programas o equipos con datos personales sin las debidas medidas de  seguridad.
  • Vulnerar el deber de secreto de ficheros de nivel medio.

Se sancionan con multas de 60.101€ a 300.500€

 

Regimen sancionador de la LOPD

 

 

MUY GRAVES:

  • Recoger datos personales de forma engañosa o fraudulenta.
  • Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido.
  • Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD.
  • No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición.
  • No atender sistemáticamente el deber de notificación de la inclusión de datos personales.

Se sancionan con multas de 300.501€ a 601.000€

Medidas de Seguridad Obligatorias

Medidas de seguridad Nivel Básico (Bajo):

  • Documento de seguridad.
  • Definición de funciones del personal.
  • Registro de incidencias.
  • Identificación y autentificación de usuarios.
  • Control de acceso.
  • Gestión de soportes y documentos.
  • Mantenimiento de copias de seguridad y soportes informáticos. Obligatoria copia de seguridad y privar acceso.

Medidas de seguridad Nivel Medio:

  • Incluye las medidas del nivel anterior.
  • Responsable de seguridad.
  • Auditoria bienal.
  • Control de acceso físico. (Servidores en armario rack, habitación, etc.)

Medidas de seguridad Nivel Alto:

  • Incluye las medidas de los dos niveles anteriores.
  • Distribución de soportes. (Copias externalizadas)
  • Registro de accesos. (Guardar los logs durante 24 meses mínimo)
  • Cifrado de copias. (Copias de seguridad encriptados)
  • Cifrado de telecomunicaciones. (Envió de Emails encriptados)
Medidas de seguridad obligatorias en LOPD

Tipos y niveles de datos

Los datos de carácter personal se clasifican en tres niveles atendiendo a su naturaleza y finalidad. A cada nivel le corresponden unas medidas de seguridad, siendo las de nivel alto las más estrictas:

Nivel básico

Todos los datos de carácter personal estarán, como mínimo, en este nivel.

A todos los ficheros con datos personales se les deberán aplicar las medidas de seguridad de nivel básico.

 

Nivel medio

En general, los datos relativos a infracciones administrativas o penales, sobre solvencia patrimonial o crédito, sobre servicios financieros, y aquellos que permitan determinar un perfil de las personas.

A estos datos será de aplicación las medidas de nivel básico y las de nivel medio.

 

Nivel alto:

En general, los datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

A estos datos se les aplicarán las medidas definidas para el nivel básico, el medio y el alto.

Realizar auditorías bienales de la LOPD.

Tipos de datos Ley Orgánica de Protección de Datos
Mantenimiento LOPD online

Mantenimiento LOPD online

Dentro del mantenimiento anual de LOPD se realizan las siguientes acciones:

  • Atención telefónica para consultas y asistencia técnica.
  • Consultoría LOPD.
  • Mantenimiento y actualización del Documento de Seguridad.
  • Nuevas versiones y actualizaciones del programa.
  • Información periódica de novedades relativas a la protección de datos y seguridad.
  • Revisión anual del Documento de Seguridad.
  • Mantenimiento y actualización de las Notificaciones sobre ficheros.
  • Informe de Auditoría completa bienal obligatoria (en niveles medio y alto)

Implantación LOPD online

Según el tipo de datos que trata la empresa su nivel de datos será: Básico, Medio o Alto. Para el cumplimiento con la LOPD son necesarias las siguientes acciones:

  • Auditoría para la adaptación de su empresa a la LOPD
  • Desarrollo de Documento de seguridad.
  • Registro de ficheros en la Agencia Española de Protección de Datos.
  • Informe para cumplimiento de las medidas de seguridad.
Implantación de LOPD

Nueva reglamentación LOPD

Reglamento general de protección de datos

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose.

El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

Los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales. La ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Novedades destacadas

Desaparecen los niveles de datos, que hasta el momento conocíamos. A partir de ahora, hablaremos de Datos Sensibles:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos y biométricos
  • Salud
  • Vida y/o orientación sexual
  • Datos relativos a condenas e infracciones penales

Se van a dejar de notificar los ficheros, a partir de ahora se denominarán tratamientos y habrá que tener un registro de los mismos. (Registro de actividades de tratamiento)

Las cláusulas/consentimientos legales:

  • El consentimiento tácito, desaparece. Ahora el consentimiento debe de ser expreso.
  • La información debe ser minuciosa y aparecen nuevos derechos y deberes.

Los contratos con encargados del tratamiento de los datos:

  • Se va a solicitar más información y los contratos van a ser más complejos.
  • De las más importantes, cabe destacar, que hay que demostrar que se cumple con la normativa (Responsabilidad Proactiva).

Evaluación de impacto

Debe ser anterior a la puesta en marcha, de los tratamientos, que conlleven un alto riesgo para los interesados

Supuestos en los que se considera alto riesgo:

  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
  • Tratamientos a gran escala de datos sensibles (Para saber si es a gran escala, tener en cuenta el Grupo del Artículo 29en su designación del DPD).
  • Observación sistemática a gran escala de una zona de acceso público.

Obligaciones del encargado

  • Mantener un registro de las actividades de tratamiento.
  • Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
  • Designar un DPD en los casos que sea necesario.

Responsabilidad proactiva

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

DPD - Delegado de protección de datos

Aparece una nueva figura que es el Delegado de Protección de Datos, pero afecta únicamente a las empresas que cumplan alguno de los siguientes requisitos:

  • Autoridades y Organismos Públicos.
  • Empresas que dediquen una observación habitual y sistemática de interesados a gran escala.
  • Empresas cuyas actividades principales traten datos sensibles a gran escala.

El DPD puede ser un empleado de la propia empresa o se puede subcontratar, en ambos casos a tiempo completo o parcial.

Principales obligaciones del DPD:

  • Velar por el cumplimiento del Reglamento.
  • Supervisar la implementación y aplicación de las políticas de Protección de datos.
  • Ser el interlocutor entre la empresa y las autoridades.

Sanciones

Cabe destacar el importante incremento de las sanciones para los casos en los que se cometa una infracción tipificada en el RGPD.

En el Art. 83, apartados 4 y 5 nos indican que las sanciones pueden alcanzar de 10 a 20 millones de Euros, además, en el caso de empresas, una cuantía equivalente al volumen de negocio anual global correspondiente al ejercicio anterior. Eligiendo lo que suponga mayor cuantía.

Partner de HP
Logo Dell
Logo Microsoft
Logo McAfee
Logo Acronis
Logo Ahora Freeware
Logo Sage Eurowin
Logo Citrix




Contacto

Goya Soluciones Informáticas

Av. Goya 6

50006 - Zaragoza

Tel: 976 797 929

Síguenos

Newsletter

Selecciona una lista

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies


II Jornada de Formación Gratuita de Adaptación al RGPD
(Nueva LOPD a nivel europeo)

8 de mayo de 9:30h a 11:00h (Edificio Ibercaja, Paseo Isabel La Católica, 6)

Formación gratuita de la nueva reglamentación europea de protección de datos (RGPD).
El aforo de la sala es limitado así que rellenad la inscripción para no quedaros sin plaza.

CERRAR
¡Apúntate gratis!

Inscríbete