Resumen ejecutivo del Estudio sobre la proteccin de datos en las empresas espaolas

INSTITUTO NACIONAL DE TECNOLOGAS DE LA COMUNICACION

Objetivos y metodologa del Estudio

Objetivos y metodologa

Objetivo del estudio

Metodologa del estudio

Anlisis documental de estudios nacionales e internacionales.

Establecer un diagnstico de la percepcin de cumplimiento de la normativa vigente en materia de proteccin de datos personales por parte de la pequea y mediana empresa espaola en 2012

Encuesta: 1.109 entrevistas a responsables de seguridad de TI de empresas. Entrevistas en profundidad a 5 responsables de seguridad de TI de empresas. Grupo de expertos y profesionales pertenecientes a diferentes mbitos de la seguridad

Ficha tcnica de la encuesta

Encuesta sobre proteccin de datos en las empresas espaolas

Universo: Pequeas y medianas empresas establecidas en el territorio nacional (CNAE 2009). Muestra: 1.109 responsables de seguridad de empresas repartidas por el territorio nacional. Distribucin muestral: Sobre el total de 1.109 empresas: 501 micropymes, 343 pequeas empresas y 265 medianas empresas. Captura de informacin: CATI (Computer Assisted Telephone Interviewing). Trabajo de campo: Enero y febrero de 2012. Error muestral: 2,9%, calculado para un nivel de confianza del 95,5%, y siendo p=q=0,5.

Principales resultados del Estudio

Principales resultados
Conocimiento de la normativa sobre proteccin de datos La prctica generalidad del colectivo de pequeas y medianas empresas conoce la LOPD y es consciente de su sujecin a la misma. El 86,4% afirma conocer la LOPD y el 80,4% manifiesta ser consciente de estar sujeta a la normativa sobre proteccin de datos. Las empresas espaolas trabajan habitualmente con ficheros con datos personales (3 de cada 4), siendo los ficheros ms frecuentes los de clientes y proveedores (94,5% y 80,2%, respectivamente). Otros ficheros usados con menor frecuencia son los de nminas, los archivos para la seguridad social y los currculos de candidatos. La mitad de las pequeas y medianas empresas manifiesta cumplir con todas las obligaciones que contempla la normativa espaola sobre proteccin de datos. El 57,5% de las empresas afirma haber inscrito los registros en la AEPD. La estimacin de INTECO es que solo el 31,8% los han inscrito.
6

Existencia de ficheros

Percepcin de adopcin de las obligaciones sobre proteccin de datos

Principales resultados
Percepcin de adopcin de medidas de seguridad La percepcin de adopcin de las medidas de seguridad previstas en el Reglamento de Desarrollo de la LOPD es irregular entre las empresas espaolas. Un 56,9% de las pequeas y medianas espaolas con ficheros con datos personales manifiesta disponer de un Documento de Seguridad. El 48,6% de las empresas afirma haber organizado sesiones de formacin especfica sobre proteccin de datos personales. Solo un 30,3% de las empresas participantes en la encuesta dice disponer de un registro de incidencias. Un 61,8% de las empresas espaolas afirma que realiza copias de respaldo con periodicidad semanal.

Conocimiento de la normativa sobre proteccin de datos Existencia de ficheros Percepcin de adopcin de las obligaciones sobre proteccin de datos Percepcin de adopcin de medidas de seguridad Perfiles de empresas segn su cumplimiento de la normativa sobre proteccin de datos.

http://observatorio.inteco.es
8

Conocimiento de la normativa sobre proteccin de datos

Conocimiento declarado de la LOPD Desde 2008 a 2012, la evolucin del grado de conocimiento de las empresas en materia de LOPD ha crecido sustancialmente, aumentando en ms de 50 puntos.
Empresas que declaran conocer la LOPD. Evolucin 2008-2012

12,9%

0,7%

34,0%

66,0%

86,4%

2008
S No Ns/Nc

2012

Base: empresas espaolas (n=1.109 en 2012)

9

Conocimiento de la normativa sobre proteccin de datos

Percepcin de estar sujeto a la normativa LOPD La mayor parte de las empresas consultadas (el 80,4%) es consciente de estar sujeta a la normativa LOPD.
Empresas que declaran ser conscientes de estar sujetas a la normativa sobre proteccin de datos

9,2% 10,4%

80,4%

No

Ns/Nc
Base: empresas espaolas (n=1.109 )
10

Existencia de ficheros
Disposicin de ficheros de datos de carcter personal El 74,3% de las empresas declara disponer de ficheros de datos de carcter personal. Buena parte de las medianas y pequeas empresas disponen de estos ficheros, mientras que en las microempresas se registra un porcentaje menor. Los expertos indican que prcticamente la totalidad de las empresas disponen de este tipo de ficheros.
Empresas que declaran disponer de ficheros con datos personales
2,9%

22,8%

74,3%

No

Ns/Nc

Base: empresas espaolas (n=1.109 )

11

Existencia de ficheros
Tipologa de ficheros de datos personales Entre las empresas que disponen de ficheros con datos personales, la gran mayora dice utilizar ficheros de clientes y proveedores. Otro tipo de ficheros utilizados con menor frecuencia son los de nminas, seguridad social y currculos.
Tipologa de ficheros de datos personales
Clientes Proveedores Nminas Seguridad Social RRHH (currculos) Menores de edad Informacin sanitaria Videovigilancia Otros 0% 1,7% 0,4% 0,2% 1,0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 32,6% 32,1% 42,4% 80,2% 94,5%

Base: empresas espaolas con ficheros con datos personales (n=919 )

12

Existencia de ficheros
Tipologa de datos de carcter personal manejados dentro de los ficheros Los datos de contacto, como direccin, telfono, correo electrnico, junto con el nombre y apellidos y el DNI estn presentes en prcticamente la totalidad de ficheros de datos.
Tipologa de datos de carcter personal manejados dentro de los ficheros
Contacto Nombre y apellidos DNI N de cuenta bancaria Bancarios/servicios financieros Fiscales Seguridad social/accidentes de trabajo Solvencia econmica Infracciones administrativas o penales Registro de actividad telefnica/accesos online Salud Ideologa/afiliacin sindical Violencia de gnero Vida sexual Origen tnico Religin 2,7% 1,2% 0,3% 0,3% 0,3% 0,3% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 12,4% 11,6% 6,2% 36,3% 34,4% 54,6% 47,2% 97,2% 96,1% 91,1%

Base: empresas espaolas con ficheros con datos personales (n=919 )

13

Percepcin de adopcin de las obligaciones sobre proteccin de datos

Adecuacin de las empresas a la normativa sobre proteccin de datos Cerca de la mitad de las empresas indica estar al corriente de todas las obligaciones que contempla la normativa de proteccin de datos.
Percepcin de las empresas con ficheros con datos personales sobre su adecuacin a la normativa sobre proteccin de datos
5,1% 2,1% 7,6%

48,5%

36,7%

Estoy al corriente de todas las obligaciones Estoy al corriente de las obligaciones ms importantes No estoy al corriente No estoy afectada por la normativa sobre proteccin de datos Ns/Nc

Base: empresas espaolas con ficheros con datos personales (n=919 )

14

Percepcin de adopcin de las obligaciones sobre proteccin de datos

Adecuacin de las empresas a la normativa sobre proteccin de datos Las empresas tienden a sobre-declarar su nivel de cumplimiento normativo. No obstante en los ltimos aos, se ha producido un aumento del nmero de ficheros inscritos en la AEPD.
Empresas que declaran haber inscrito ficheros en la Agencia de Proteccin de Datos y contraste con el porcentaje real/estimado. Evolucin 2008-2012
70% 60% 50% 40% 30% 20% 10% 0% 16,0% 37,0% 31,8% 57,5%

2008 Declarado Real / Estimado

2012

Base: empresas espaolas con ficheros con datos personales (n=919 en 2012)
15

Percepcin de adopcin de las obligaciones sobre proteccin de datos

Deber de informacin Tres de cada cuatro empresas declara cumplir con el deber de informar a los titulares de los datos. El dato real, segn los expertos, es inferior al declarado. El desconocimiento puede hacer que juzguen errneamente su grado de cumplimiento.
Empresas que declaran cumplir con el deber de informacin a las personas fsicas titulares de los datos
5,5%

21,8%

72,7%

No

Ns/Nc

Base: empresas espaolas con ficheros con datos personales (n=919 )

16

Percepcin de adopcin de las obligaciones sobre proteccin de datos

Solicitud de consentimiento El 70,6% de las empresas afirma solicitar el consentimiento, generalmente quedando constancia escrita o documentada del mismo.
Empresas que declaran cumplir con el deber de solicitud de consentimiento a las personas fsicas titulares de los datos

5,3%

54,5% 24,1% 70,6%

16,1%

S, quedando constancia escrita o documentada S, pero no queda constancia escrita o documentada No Ns/Nc

Base: empresas espaolas con ficheros con datos personales (n=919 )

17

Percepcin de adopcin de las obligaciones sobre proteccin de datos

Gestin de derechos ARCO El 51,0% de las empresas afirma facilitar y garantizar el ejercicio de los derechos ARCO.
Empresas que declaran adoptar procedimientos para facilitar y garantizar el ejercicio de los derechos ARCO

14,7%

51,0% 34,3%

No

Ns/Nc
Base: empresas espaolas con ficheros con datos personales (n=919 )
18

Percepcin de adopcin de las obligaciones sobre proteccin de datos

Tratamiento de datos por parte de terceros El 23,6% de las empresas declara haber externalizado servicios que requieren un tratamiento de datos personales por parte de un tercero.
Empresas que declaran haber externalizado servicios que requieren un tratamiento de datos personales por parte de un tercero

Transferencia de datos internacionales La realizacin de transferencia internacional de datos de carcter internacional es poco frecuente entre las empresas.
Empresas que declaran realizar transferencias internacionales de datos de carcter personal
1,5%

1,0%

5,1%

18,6% 71,3%

5,0%

97,5%

S, y se ha regulado especficamente el tratamiento que se debe hacer de esos datos S, pero no se ha regulado especficamente el tratamiento de esos datos No, no se han externalizado tareas relacionadas Ns/Nc
S No Ns/Nc

Base: empresas espaolas con ficheros con datos personales (n=919 )

19

Percepcin de adopcin de medidas de seguridad

Documento de seguridad El 56,9% de las empresas declara disponer de documento de seguridad

Empresas que declaran disponer de documento de seguridad

11,9%

56,9% 31,2%

No

Ns/Nc

Base: empresas espaolas con ficheros con datos personales (n=919 )

20

Percepcin de adopcin de medidas de seguridad

Divulgacin de la normativa de proteccin de datos al personal de la empresa El personal de las empresas espaolas conoce las obligaciones respecto al tratamiento de datos y las consecuencias de su incumplimiento
Empresas que declaran haber difundido entre sus empleados las normas de proteccin de datos y las consecuencias de su incumplimiento

4,1%

48,6% 13,4% 33,9%

S, han recibido formacin especfica sobre proteccin de datos personales S, se les ha informado de otro modo No Ns/Nc

Base: empresas espaolas con ficheros con datos personales (n=919 )

21

Percepcin de adopcin de medidas de seguridad

Registro de incidencias La disponibilidad de registro de incidencias entre las empresas no es generalizada. Solo el 30,3% dispone de este sistema.
Empresas que declaran tener registro de incidencias

13,0% 30,3%

56,7%

No

Ns/Nc
Base: empresas espaolas con ficheros con datos personales (n=919 )
22

Percepcin de adopcin de medidas de seguridad

Control de acceso El 77,7% de las entidades afirma que se ha definido quines pueden acceder a los datos de carcter personal y las tareas que pueden realizar al respecto.
Empresas que declaran haber establecido control de acceso

3,1%

19,2%

77,7%

No

Ns/Nc

Base: empresas espaolas con ficheros con datos personales (n=919 )

23

Percepcin de adopcin de medidas de seguridad

Mecanismos de identificacin y autentificacin El 65,4% de las empresas espaolas manifiesta disponer de un sistema de identificacin de los usuarios con acceso a los datos de carcter personal.
Empresas que declaran haber establecido un sistema de identificacin de los usuarios con acceso a los datos de carcter personal
2,8%

El 77,2% de las empresas espaolas afirma haber establecido un sistema de contraseas para el acceso a los equipos y aplicaciones.
Pymes que declaran haber establecido un sistema de contraseas de los usuarios para el acceso a los equipos y aplicaciones
0,9%

21,9%
31,8%

65,4%

77,2%

No

Ns/Nc

No

Ns/Nc
24

Base: empresas espaolas con ficheros con datos personales (n=919 )

Percepcin de adopcin de medidas de seguridad

Gestin de soportes y documentos Algo ms de la mitad de las empresas espaolas (el 53,9%) declara disponer de un inventario de los soportes que contienen datos de carcter personal. El 37,0% declara haber establecido un protocolo de actuacin para la destruccin de ficheros.
Empresas que declaran disponer de un inventario de los soportes que contienen datos de carcter personal Empresas que declaran haber establecido un protocolo de actuacin para la destruccin de ficheros

4,8%

8,7%

37,0%
41,3% 53,9%

54,3%

No

Ns/Nc

No

Ns/Nc

Base: empresas espaolas con ficheros con datos personales (n=919 )

25

Percepcin de adopcin de medidas de seguridad

Copias de respaldo Un 61,8% de las empresas espaolas cumplira con lo previsto en el RDLOPD, al realizar copias de respaldo semanalmente
Frecuencia con que las empresas declaran realizar copias de respaldo
3,9% 7,8%

13,6%

12,9%

61,8%

Semanalmente

Mensualmente

Con menor frecuencia

No realiza copias de seguridad

Ns/Nc

Base: empresas espaolas con ficheros con datos personales (n=919 )

26

Perfiles de empresas segn su cumplimiento de la normativa sobre proteccin de datos

Perfiles empresas El grfico siguiente resume los perfiles de empresas obtenidos en el estudio: 1) Empresas despreocupadas-indiferentes, 2) Empresas previsoras-estratgicas, 3) Empresas desinformadas y 4) Empresas cumplidoras.
Cluster de empresas

21,3%

27,5%

32,3%

18,9%

Empresas despreocupadas-indiferentes Empresas previsoras-estratgicas

Empresas desinformadas Empresas cumplidoras

Base: empresas espaolas con ficheros con datos personales (n=919 )

27

Perfiles de empresas segn su cumplimiento de la normativa sobre proteccin de datos

***?

Sector Tamao Conocimiento de la normativa

Perfil 1: Empresas despreocupadasindiferentes Comercio minorista y hostelera

Perfil 2: Empresas Desinformadas Industria

Perfil 3: Empresas previsoras-estratgicas Servicio, comercio y hostelera Medianas empresas. Conocen la LOPD Conocen la LOPD. Estn al tanto de las obligaciones y observan su cumplimiento.

Perfil 4: Empresas cumplidoras Servicios empresariales Pequeas empresas tamao. y de medianas cualquier

Microempresas con nivel de Pequeas empresas. facturacin bajo. No conocen la LOPD y no En general, desconocen las consideran estar sujetas a obligaciones exigidas en la ella. LOPD. Poco ms de un tercio considera estar al corriente Muchas no estn al corriente del cumplimiento de las de las obligaciones. obligaciones de la LOPD y su reglamento. La mitad indica haber inscrito los ficheros en el registro AEPD. Destaca el elevado porcentaje que no conoce si se ha cumplido con este trmite.

Conocen la LOPD Cumplen en mayor medida que el resto con las normas de la LOPD.

Percepcin de cumplimiento de No han inscrito los ficheros de normativa datos de carcter personal en el registro de la AEPD. No informan a los interesados sobre la existencia de un fichero.

Tratamientos de Realizan tratamiento de datos Realizan tratamiento de datos datos de de carcter personal en menor de carcter personal. carcter medida que la media. personal

La mayora tienen procedimientos para facilitar Un porcentaje elevado de y garantizar el ejercicio de los empresas cuenta con un derechos ARCO. protocolo de accin para la Informan a los interesados gestin de incidencias . sobre la existencia de un fichero. La prctica totalidad de pymes Realizan tratamiento de datos de este perfil realiza de carcter personal. tratamientos de datos de carcter personal
28

Recomendaciones

29

Recomendaciones
Recomendaciones en materia de concienciacin y formacin Concienciacin y formacin Diagnstico e informacin
Incrementar la intensidad de las acciones de sensibilizacin y adaptarlas a las necesidades del colectivo de pequeas y medianas empresas. Abordar la concienciacin desde un enfoque didctico, no impositivo. Elaborar las disposiciones normativas a un lenguaje adaptado a las pequeas y medianas empresas. Poner en valor el papel de la AEPD y resto de agencias.

Propuestas en materia de diagnstico e informacin

Realizar un diagnstico peridico del tratamiento y la seguridad de los datos de carcter personal en las empresas. Elaborar un sistema de medicin y seguimiento de indicadores sobre el estado de la proteccin de datos en la empresa.

30

Recomendaciones
Propuestas en materia del proceso de adecuacin y la gestin del tratamiento Adecuacin y gestin del tratamiento
Normalizacin y certificacin Facilitar el proceso de adaptacin, ofreciendo pautas y herramientas y asesorar a las empresas con mayores dificultades. Establecer requisitos y exigencias acordes al tamao de la empresa y su actividad. Impulsar un mayor control y seguimiento del cumplimiento normativo. Poner mayor nfasis en los aspectos ms relevantes, rebajando las exigencias de carcter formal. Contar con el apoyo de un tercero en el proceso de adecuacin y tratamiento. Fomentar la autorregulacin de las empresas prescriptoras y facilitadoras. Realizar un apoyo econmico a las empresas.

Propuestas en materia de normalizacin y certificacin

Establecer un sello ad hoc para las empresas cumplidoras con la LOPD. Crear una certificacin de la seguridad de la informacin y confianza digital.

31

Sguenos a travs de:

Web

http://observatorio.inteco.es Perfil de Facebook http://www.facebook.com/ObservaINTECO Perfil de Twitter http://www.twitter.com/ObservaINTECO Perfil de Scribd http://www.scribd.com/ObservaINTECO Perfil de Youtube http://www.youtube.com/ObservaINTECO Blog del Observatorio de la Seguridad de la Informacin http://www.inteco.es/BlogSeguridad

Envanos tus preguntas y comentarios a:

observatorio@inteco.es

http://www.inteco.es http://observatorio.inteco.es