1. LEY ORGÁNICA DE PROTECCIÓN DE DATOS Y NUEVO REGLAMENTO LOPD
INTRODUCCION: La LOPD es la Ley Orgánica 15/1999 de Protección de Datos de
Carácter Personal, publicada en el BOE el 13 de diciembre de 1999 y Real Decreto 1720/2007,de 21 de Diciembre.
- OBJETO DEL REGLAMENTO.
1.Aumenta la seguridad jurídica del cliente, garantizando y protegiendo el tratamiento
de datos de carácter personal.
2. Los datos serán recogidos para el cumplimiento de determinadas finalidades
2. NOVEDADES: NUEVO MARCO EUROPEO.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos. (EV 25/05/18)
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación y detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales.
- AMBITO APLICACIÓN
MATERIAL: -Tratamiento total o parcial automatizado/no automatizado de datos
personales destinados a ser incluidos en un fichero.
TERRITORIAL: -Aplicación al tratamiento de datos personales en el contexto de
actividades de un establecimiento del responsable o del encargado en la UE, independientemente de que el tratamiento tenga lugar en la Unión o no.
-Tratamiento de datos personales de residentes en la Unión por parte de un
responsable o encargado no establecido en la Unión, cuando las actividades del tratamiento estén relacionadas: · La oferta de bienes o servicios a dichos interesados en la UE.
·Control de su comportamiento cuando tenga lugar en la UE.
- PRINCIPIOS RECTORES
Normativa europea Única. (en el conjunto de la UE, tb para empresas radicadas fuera de la UE pero ofrezcan sus servicios en la UE).
Ventanilla Única. (Supone un ahorro de 2.300 mill de euros al año).
Evitación de obligaciones pesadas adaptándose a las factores de riesgo.
Importancia del consentimiento (libre, específico, informada e inequívoco).
3. LOPD Y SU REGLAMENTO. DIRECTIVA (UE) Y SU REGLAMENTO.
Adaptación a la LOPD y al nuevo Reglamento:
• Identificar los ficheros con datos de carácter personal.
• Establecer el nivel de seguridad de los mismos.
• Llevar a cabo la inscripción de estos ficheros en el Registro de la Agencia
Española de Protección de Datos.
• Desarrollar un Documento de Seguridad de la Compañía y sus Procedimientos
de Seguridad.
Necesario que se tengan en cuenta los siguientes aspectos:
• Los datos personales deben encontrarse actualizados, ser adecuados,
pertinentes y no excesivos.
• Los interesados deben ser informados de que sus datos van a ser tratados y de su finalidad. Sólo podrán usarse para la finalidad para la que hayan sido recogidos.
• Deben ser “cancelados” cuando hayan dejado de ser útiles para la
finalidad para la que fueron recogidos.
• Se debe recabar el consentimiento inequívoco del afectado para llevar
a cabo el tratamiento de sus datos.
• Los procesos de negocio deben respetar los requerimientos legales en
cuanto a confidencialidad, veracidad y autenticidad de la información con la que se trabaja. - CONSENTIMIENTO DEL INTERESADO ART 12-22
Manifestación de voluntad libre e inequívoca en la que el interesado consiente el
tratamiento de sus datos.
Es necesario requerir con carácter previo a su uso el consentimiento para el
tratamiento y cesión de sus datos con delimitación de la finalidad.
Facilitar un medio sencillo y gratuito que deje constancia de que ha prestado el
consentimiento.
Ej: Envío prefranqueado, línea de teléfono gratuita o servicio de atención al
cliente.
30 días para manifestar expresamente su negativa, en caso de no pronunciarse se
entenderá que consiente el tratamiento de sus datos.
Tratamiento de datos para fines no relacionados directamente en el marco de una
relación contractual:
- Permitir al interesado que manifieste su negativa al tratamiento.
- Permitir al afectado la marcación de una casilla claramente visible y que no se
encuentre ya marcada en el documento que se le entregue para permitir que manifieste su negativa al tratamiento.
- REVOCACION DEL CONSENTIMIENTO.
A través de un medio sencillo, gratuito y que no implique ingreso para el responsable
del fichero ni tarificación adicional al interesado. Ej: Envío prefranqueado, llamada a un número gratuito...
10 días para el cese del tratamiento tanto del responsable como del cesionario.
Responsable deberá responder al interesado del cese del tratamiento.
- CONSERVACION DE LOS DATOS.
Cumplida la prestación contractual, los datos deberán ser destruidos o devueltos al
responsable o encargado del tratamiento.
No procederá la destrucción cuando exista una previsión legal que exija su
conservación, por lo que el responsable conservará los datos debidamente bloqueados - NIVELES DE SEGURIDAD
Básico: cualquier dato de tipo personal, nombre, DNI, dirección, etc.
Medio: datos de comisión de infracciones penales y administrativas, Hacienda Pública,
servicios financieros, ficheros de publicidad.
Alto: datos sensibles como ideología, religión, raza, salud o vida sexual.
- ¿Qué SON LOS DATOS DE CARÁCTER PERSONAL Y A QUIEN AFECTA?
Son aquellos que representa cualquier información concerniente a datos de personas
físicas identificadas e identificables.
Afecta a las empresas que tratan datos de carácter personal, que deben adoptar las medidas necesarias para salvaguardar dicha información.
También afecta a los trabajadores de la empresa, responsable del tratamiento de los
datos.
- DERECHO DE ACCESO, RECTIFICACION, CANCELACION Y OPOSICION ART 23-36
Son derechos personalísimos y serán ejercitados por el afectado o por su
representante legal.
Conceder al interesado un medio sencillo y gratuito para su ejercicio.
El responsable resolverá la solicitud en el plazo de 10 días, salvo 1 mes para el derecho
de acceso.
Dar traslado al Responsable de Seguridad o Responsable de los ficheros.
ACCESO: Derecho a obtener información sobre si sus datos están siendo objeto de tratamiento, la finalidad, el origen de los datos y las comunicaciones realizadas.
RECTIFICACION: Cuando los datos sean inexactos o incompletos deberá indicarse para su modificación.
CANCELACION: Del tratamiento de los datos de carácter personal. Excepto por la
puesta a disposición de la Administración Pública, Jueces y Tribunales por responsabilidades. Implica el bloqueo de los datos con el fin de impedir su tratamiento.
OPOSICION: Derecho del afectado a que no se lleve a cabo el tratamiento de datos de
carácter personal. 4. MEDIDAS DE SEGURIDAD.
AUTOMATIZADO. Art. 88 -104
- Establecer un sistema de contraseñas de carácter confidencial que pueda ser
usada en la autentificación del usuario.
- Cuidado en el envío de comunicaciones por correo electrónico. Datos
encriptados.
NO AUTOMATIZADO. Art. 105 – 114.
- Conjunto de datos de carácter personal organizado de forma no automatizada
y estructurado con arreglo a criterios específicos que permitan acceder sin esfuerzos.
- Dichos datos deberán estar protegidos con puertas de acceso con sistema de apertura a distancia mediante llave u otro dispositivo equivalente.
- SISTEMA AUTOMATIZADO
Las contraseñas son la mejor forma de impedir que alguien acceda a tus datos. ¡Utilízalas!
Tú eres el responsable de la confidencialidad de tu contraseña: no la anotes en lugares
visibles ni la compartas con los demás compañeros.
Cámbiala la primera vez que accedas al sistema y, después, al menos cada 90 días.
Bloquea el terminal en ausencias prolongadas del puesto de trabajo.
Si detectas que alguien ha accedido a tu usuario o conoce tu contraseña, comunícalo
al responsable informático.
No permitas el uso de tu ordenador a personas no autorizadas.
La calidad de la contraseña que utilices es determinante para garantizar la seguridad
de los equipos y los datos:
- Utiliza contraseñas de al menos 8 caracteres y que sean difíciles de adivinar.
¡Pónselo difícil a los intrusos!
- No utilices una contraseña que sea igual que tu identificador, nombre, apellido, fecha de nacimiento, etc. 5. OBLIGACIONES PARA TODOS
1. Deber de guardar secreto Profesional y confidencialidad de los datos de
carácter personal.
2. No comunicar los datos fuera del ámbito de la empresa.
3. Necesidad que el responsable pueda probar que se prestó el consentimiento.
(Reglamento UE)
4. Notificar al responsable cualquier tipo de incidencia de seguridad que se
produzcan sobre los datos o sistemas con los que trabajas habitualmente y registrar la incidencia sufrida. (Reglamento UE)
5. Introducción Delegado de Protección que registre las actividades de
tratamiento. (Reglamento UE)
6. Regulación de la transferencia internacional de datos. (Reglamento UE)
7. Notificar a los interesados de las violaciones de seguridad. (Reglamento UE)
8. Respetar las normas de seguridad de los sistemas informáticos y la información
que en ella se trata.
9. No dejar el papel a que contenga datos personales a la vista. Mesas Limpias,
“armarios con llaves”, “despachos cerrados”, “contraseñas de equipos”… hay que maximizar la eficiencia de la seguridad.
6. CONSECUENCIAS DEL INCUMPLIMIENTO DE LA LOPD Y SU REGLAMENTO.
Las sanciones que impone la Agencia Española de Protección de Datos son muy elevadas
Clasificación:
Infracciones: Leves (Ej: No Proporcionar información que solicite la Agencia, recogida
de datos sin informar de las obligaciones y derechos)
Graves (Tratar datos sin consentimiento, impedir u obstaculizar el ejercicio de los
derechos...etc.)
Muy Graves (Ej: cesión datos no permitidos, vulneración del deber de guardar secreto...etc)
Tipo de sanciones: Infracciones Leves: De 600 € a 60.000 € Graves: De 60.000 € a
300.000 € Muy Graves: De 300.000 € a 600.000 €
Una vez denunciada la infracción la Agencia funciona de manera automática
