Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen Ejecutivo Del Estudio Sobre La Protección de Datos en Las Empresas Españolas
Resumen Ejecutivo Del Estudio Sobre La Protección de Datos en Las Empresas Españolas
Objetivos y metodologa
Establecer un diagnstico de la percepcin de cumplimiento de la normativa vigente en materia de proteccin de datos personales por parte de la pequea y mediana empresa espaola en 2012
Encuesta: 1.109 entrevistas a responsables de seguridad de TI de empresas. Entrevistas en profundidad a 5 responsables de seguridad de TI de empresas. Grupo de expertos y profesionales pertenecientes a diferentes mbitos de la seguridad
Universo: Pequeas y medianas empresas establecidas en el territorio nacional (CNAE 2009). Muestra: 1.109 responsables de seguridad de empresas repartidas por el territorio nacional. Distribucin muestral: Sobre el total de 1.109 empresas: 501 micropymes, 343 pequeas empresas y 265 medianas empresas. Captura de informacin: CATI (Computer Assisted Telephone Interviewing). Trabajo de campo: Enero y febrero de 2012. Error muestral: 2,9%, calculado para un nivel de confianza del 95,5%, y siendo p=q=0,5.
Principales resultados
Conocimiento de la normativa sobre proteccin de datos La prctica generalidad del colectivo de pequeas y medianas empresas conoce la LOPD y es consciente de su sujecin a la misma. El 86,4% afirma conocer la LOPD y el 80,4% manifiesta ser consciente de estar sujeta a la normativa sobre proteccin de datos. Las empresas espaolas trabajan habitualmente con ficheros con datos personales (3 de cada 4), siendo los ficheros ms frecuentes los de clientes y proveedores (94,5% y 80,2%, respectivamente). Otros ficheros usados con menor frecuencia son los de nminas, los archivos para la seguridad social y los currculos de candidatos. La mitad de las pequeas y medianas empresas manifiesta cumplir con todas las obligaciones que contempla la normativa espaola sobre proteccin de datos. El 57,5% de las empresas afirma haber inscrito los registros en la AEPD. La estimacin de INTECO es que solo el 31,8% los han inscrito.
6
Existencia de ficheros
Principales resultados
Percepcin de adopcin de medidas de seguridad La percepcin de adopcin de las medidas de seguridad previstas en el Reglamento de Desarrollo de la LOPD es irregular entre las empresas espaolas. Un 56,9% de las pequeas y medianas espaolas con ficheros con datos personales manifiesta disponer de un Documento de Seguridad. El 48,6% de las empresas afirma haber organizado sesiones de formacin especfica sobre proteccin de datos personales. Solo un 30,3% de las empresas participantes en la encuesta dice disponer de un registro de incidencias. Un 61,8% de las empresas espaolas afirma que realiza copias de respaldo con periodicidad semanal.
Conocimiento de la normativa sobre proteccin de datos Existencia de ficheros Percepcin de adopcin de las obligaciones sobre proteccin de datos Percepcin de adopcin de medidas de seguridad Perfiles de empresas segn su cumplimiento de la normativa sobre proteccin de datos.
http://observatorio.inteco.es
8
12,9%
0,7%
34,0%
66,0%
86,4%
2008
S No Ns/Nc
2012
9,2% 10,4%
80,4%
No
Ns/Nc
Base: empresas espaolas (n=1.109 )
10
Existencia de ficheros
Disposicin de ficheros de datos de carcter personal El 74,3% de las empresas declara disponer de ficheros de datos de carcter personal. Buena parte de las medianas y pequeas empresas disponen de estos ficheros, mientras que en las microempresas se registra un porcentaje menor. Los expertos indican que prcticamente la totalidad de las empresas disponen de este tipo de ficheros.
Empresas que declaran disponer de ficheros con datos personales
2,9%
22,8%
74,3%
No
Ns/Nc
Existencia de ficheros
Tipologa de ficheros de datos personales Entre las empresas que disponen de ficheros con datos personales, la gran mayora dice utilizar ficheros de clientes y proveedores. Otro tipo de ficheros utilizados con menor frecuencia son los de nminas, seguridad social y currculos.
Tipologa de ficheros de datos personales
Clientes Proveedores Nminas Seguridad Social RRHH (currculos) Menores de edad Informacin sanitaria Videovigilancia Otros 0% 1,7% 0,4% 0,2% 1,0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 32,6% 32,1% 42,4% 80,2% 94,5%
Existencia de ficheros
Tipologa de datos de carcter personal manejados dentro de los ficheros Los datos de contacto, como direccin, telfono, correo electrnico, junto con el nombre y apellidos y el DNI estn presentes en prcticamente la totalidad de ficheros de datos.
Tipologa de datos de carcter personal manejados dentro de los ficheros
Contacto Nombre y apellidos DNI N de cuenta bancaria Bancarios/servicios financieros Fiscales Seguridad social/accidentes de trabajo Solvencia econmica Infracciones administrativas o penales Registro de actividad telefnica/accesos online Salud Ideologa/afiliacin sindical Violencia de gnero Vida sexual Origen tnico Religin 2,7% 1,2% 0,3% 0,3% 0,3% 0,3% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 12,4% 11,6% 6,2% 36,3% 34,4% 54,6% 47,2% 97,2% 96,1% 91,1%
48,5%
36,7%
Estoy al corriente de todas las obligaciones Estoy al corriente de las obligaciones ms importantes No estoy al corriente No estoy afectada por la normativa sobre proteccin de datos Ns/Nc
2012
Base: empresas espaolas con ficheros con datos personales (n=919 en 2012)
15
21,8%
72,7%
No
Ns/Nc
5,3%
16,1%
S, quedando constancia escrita o documentada S, pero no queda constancia escrita o documentada No Ns/Nc
14,7%
51,0% 34,3%
No
Ns/Nc
Base: empresas espaolas con ficheros con datos personales (n=919 )
18
Transferencia de datos internacionales La realizacin de transferencia internacional de datos de carcter internacional es poco frecuente entre las empresas.
Empresas que declaran realizar transferencias internacionales de datos de carcter personal
1,5%
1,0%
5,1%
18,6% 71,3%
5,0%
97,5%
S, y se ha regulado especficamente el tratamiento que se debe hacer de esos datos S, pero no se ha regulado especficamente el tratamiento de esos datos No, no se han externalizado tareas relacionadas Ns/Nc
S No Ns/Nc
11,9%
56,9% 31,2%
No
Ns/Nc
4,1%
S, han recibido formacin especfica sobre proteccin de datos personales S, se les ha informado de otro modo No Ns/Nc
13,0% 30,3%
56,7%
No
Ns/Nc
Base: empresas espaolas con ficheros con datos personales (n=919 )
22
3,1%
19,2%
77,7%
No
Ns/Nc
El 77,2% de las empresas espaolas afirma haber establecido un sistema de contraseas para el acceso a los equipos y aplicaciones.
Pymes que declaran haber establecido un sistema de contraseas de los usuarios para el acceso a los equipos y aplicaciones
0,9%
21,9%
31,8%
65,4%
77,2%
No
Ns/Nc
No
Ns/Nc
24
4,8%
8,7%
37,0%
41,3% 53,9%
54,3%
No
Ns/Nc
No
Ns/Nc
13,6%
12,9%
61,8%
Semanalmente
Mensualmente
Ns/Nc
21,3%
27,5%
32,3%
18,9%
Perfil 3: Empresas previsoras-estratgicas Servicio, comercio y hostelera Medianas empresas. Conocen la LOPD Conocen la LOPD. Estn al tanto de las obligaciones y observan su cumplimiento.
Perfil 4: Empresas cumplidoras Servicios empresariales Pequeas empresas tamao. y de medianas cualquier
Microempresas con nivel de Pequeas empresas. facturacin bajo. No conocen la LOPD y no En general, desconocen las consideran estar sujetas a obligaciones exigidas en la ella. LOPD. Poco ms de un tercio considera estar al corriente Muchas no estn al corriente del cumplimiento de las de las obligaciones. obligaciones de la LOPD y su reglamento. La mitad indica haber inscrito los ficheros en el registro AEPD. Destaca el elevado porcentaje que no conoce si se ha cumplido con este trmite.
Conocen la LOPD Cumplen en mayor medida que el resto con las normas de la LOPD.
Percepcin de cumplimiento de No han inscrito los ficheros de normativa datos de carcter personal en el registro de la AEPD. No informan a los interesados sobre la existencia de un fichero.
Tratamientos de Realizan tratamiento de datos Realizan tratamiento de datos datos de de carcter personal en menor de carcter personal. carcter medida que la media. personal
La mayora tienen procedimientos para facilitar Un porcentaje elevado de y garantizar el ejercicio de los empresas cuenta con un derechos ARCO. protocolo de accin para la Informan a los interesados gestin de incidencias . sobre la existencia de un fichero. La prctica totalidad de pymes Realizan tratamiento de datos de este perfil realiza de carcter personal. tratamientos de datos de carcter personal
28
Recomendaciones
29
Recomendaciones
Recomendaciones en materia de concienciacin y formacin Concienciacin y formacin Diagnstico e informacin
Incrementar la intensidad de las acciones de sensibilizacin y adaptarlas a las necesidades del colectivo de pequeas y medianas empresas. Abordar la concienciacin desde un enfoque didctico, no impositivo. Elaborar las disposiciones normativas a un lenguaje adaptado a las pequeas y medianas empresas. Poner en valor el papel de la AEPD y resto de agencias.
30
Recomendaciones
Propuestas en materia del proceso de adecuacin y la gestin del tratamiento Adecuacin y gestin del tratamiento
Normalizacin y certificacin Facilitar el proceso de adaptacin, ofreciendo pautas y herramientas y asesorar a las empresas con mayores dificultades. Establecer requisitos y exigencias acordes al tamao de la empresa y su actividad. Impulsar un mayor control y seguimiento del cumplimiento normativo. Poner mayor nfasis en los aspectos ms relevantes, rebajando las exigencias de carcter formal. Contar con el apoyo de un tercero en el proceso de adecuacin y tratamiento. Fomentar la autorregulacin de las empresas prescriptoras y facilitadoras. Realizar un apoyo econmico a las empresas.
31
Web
http://observatorio.inteco.es Perfil de Facebook http://www.facebook.com/ObservaINTECO Perfil de Twitter http://www.twitter.com/ObservaINTECO Perfil de Scribd http://www.scribd.com/ObservaINTECO Perfil de Youtube http://www.youtube.com/ObservaINTECO Blog del Observatorio de la Seguridad de la Informacin http://www.inteco.es/BlogSeguridad
http://www.inteco.es http://observatorio.inteco.es