Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
IMPLANTACIÓN
L.O.P.D. EN LA
EMPRESA
GUÍA PRÁCTICA
• Qué hacer para implantar la LOPD
• Pasos a seguir
IMPLANTACIÓN DE LA
LOPD EN LA EMPRESA
• Como inscribir un fichero en l...
Con este curso se pretende, una vez alcanzados los conocimientos
teóricos, adquirir las habilidades prácticas para poder r...
IMPLANTACIÓN DE LA LOPD EN
LA EMPRESA
1. QUE HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA
2. PASOS A SEGUIR
2.1. Determinar ...
1. QUÉ HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA
Cumplir con la Ley de Protección de
Datos es obligatorio para cualquier
...
2. PASOS A SEGUIR
2. REGISTRAR TODOS
LOS FICHEROS CON
DATOS PERSONALES EN
LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE
DATOS
3. EL...
Analizar qué tipo de datos personales se manipulan en el desarrollo
de su actividad
Identificar aquellos archivos suscepti...
PERSONALYNÓMINAS En el momento
en el que se
contrate a un
trabajador
CLIENTES
Cuando haya
clientes, tanto
en soporte
papel...
2.2. REGISTRAR TODOS LOS FICHEROS CON DATOS
PERSONALES EN LA A.E.P.D
Identidad del responsable del fichero.
Nombre y descr...
Una vez ha sido completada la información requerida, puede
enviarse la notificación a la Agencia Española de Protección de...
Una vez inscrito el Fichero en
el Registro, la Agencia
Española de Protección de
Datos, lo comunicará
indicando el código ...
2.3. ELABORAR EL DOCUMENTO DE SEGURIDAD
El responsable del fichero elaborará y establecerá la normativa de
seguridad media...
Este documento será el que establezca la
normativa de seguridad de la empresa.
Deberá conocer y cumplir todo el personal c...
Hay que señalar que la responsabilidad por las infracciones que se
cometan, será siempre del responsable del fichero y nun...
2.4. IDENTIFICAR LOS NIVELES DE SEGURIDAD QUE
CORRESPONDEN A CADA FICHERO
Nivel Básico: si los ficheros que se guardan con...
• Existencia de una lista actualizada de usuarios autorizados que tengan
acceso al sistema de información.
• Contraseñas: ...
• Descripción y estructura informática del Fichero y del sistema
informático en el documento de seguridad.
• Identificació...
NIVEL MEDIO
Las medidas mínimas de seguridad que se adoptarán serán las mismas que la
de nivel básico, más las siguientes:...
NIVEL ALTO
Las medidas mínimas de seguridad que se adoptarán serán las mismas
que la de nivel básico y nivel medio, más la...
5. GARANTIZAR LOS DERECHOS DE LOS USUARIOS
Derecho de Acceso. Todos los usuarios tienen derecho a conocer
qué datos se han...
INSCRIPCIÓN DE FICHEROS
1. INSCRIBIR UN FICHERO EN LA AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS
• Formulario NOTA
1. CÓMO INSCRIBIR UN FICHERO ANTE LA AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS (AEPD)
Para llevar a cabo la inscripción de f...
La aplicación está situada en la página principal, se llama NOTA y se
encuentra en la parte derecha de la página
Pinchar s...
El siguiente paso es seleccionar:
Obtención del formulario NOTA
Ojo!!! Hay que leer
El formulario electrónico NOTA incorpora funcionalidades de dinamismo que requieren la
instalación de ...
AVISO IMPORTANTE PARA USUARIOS DE GOOGLE CHROME
Google Chrome ejecuta de forma predeterminada un complemento propio
(Chrom...
• Pulsar el botón de Personalizar y configurar Google Chrome.
• Seleccionar "Mostrar opciones avanzadas..." al final de la...
Ojo!!! Hay que leer
AVISO IMPORTANTE SOBRE COMPLEMENTO DE NAVEGADORES
Algunos navegadores pueden tener configurado por def...
Cambiar el complemento con el que el navegador abre el documento.
Así, por ejemplo:
 En Google Chrome se muestra un icono...
Una vez realizadas las configuraciones pertinentes bajar con el cursor
hasta la parte inferior de la página y seleccionar ...
Se accede al formulario disponible en formato PDF para comenzar la
declaración
La primera pregunta que se encuentra es, qu...
En este caso marcaremos ALTA
A continuación aparece otro desplegable que pregunta que modelo de
declaración queremos reali...
En la declaración TIPO están los ficheros mas comunes
Al ser tipo parte de los formularios vienen ya rellenos
Si dentro de...
La siguiente pregunta es como vamos a hacer la presentación del
formulario ante la Agencia.
Esta se puede hacer a través d...
Es la forma mas sencilla, para ello, hay que
rellenar un formulario, el cual debe ir firmado en
la última hoja de forma ma...
Se procede a cumplimentar el formulario
En el primer apartado se encuentran los datos del responsable del
fichero, es deci...
En el apartado cuatro se debe indicar los datos de la empresa que
realice el tratamiento de datos de carácter personal de ...
En el apartado quinto se indicará los datos del fichero que se va a
notificar.
Como se puede comprobar parte del fichero e...
En el apartado sexto hay que marcar la casilla de la procedencia de los
datos, si es a través del propio interesado, de un...
En el caso que nos ocupa CLIENTES no hay datos de este tipo por lo que no se
selecciona ninguna casilla de estos apartados...
En el apartado sistema
de tratamiento se debe
indicar, si va a ser
manual, es decir, en
formato papel,
automatizado o mixt...
En el apartado nueve, se
indica si se va hacer alguna
cesión de datos de este
fichero, es decir, si se van a
ceder datos d...
CUMPLIMENTAR EL FORMULARIO
Una vez seleccionada CUMPLIMENTAR HOJA DE SOLICITUD para
terminar definitivamente (en este caso...
ELABORACIÓN DEL MANUAL DE
SEGURIDAD
1. INTRODUCCIÓN
2. ÁMBITO DE APLICACIÓN
3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y E...
Las medidas de índole técnico y organizativo que los responsables de
los tratamiento o los ficheros y los encargados de tr...
Entre estas medidas que
se deben adoptar, se
encuentra el DOCUMENTO
DE SEGURIDAD, cuya
misión es recoger las
medidas de ín...
Para disponer de este documento hay que entrar en la página web de la
Agencia: https//www.agpd.es
Una vez en la página pri...
En la pantalla que se abre pinchar en Guía modelo del Documento de
Seguridad (formato editable).
Se abre un documento Word...
APARTADOS
• Ámbito de aplicación del
documento.
• Medidas, normas,
procedimientos, reglas y
estándares encaminados a
garan...
Todo lo que hay dentro de estos signos son comentarios explicativos que
deben ser sustituidos por el contenido que se adap...
ÁMBITO DE APLICACIÓN
CONTENIDODELDOCUMENTO
El nombre del responsable del/os ficheros, es decir a quien
pertenece (nombre d...
En este apartado se tratan las distintas medidas de seguridad que se
deben tomar para cumplir con la LOPD, es decir, como ...
Por ello, es importante tener protocolizado un procedimiento de actuación
para que cuando entre personal nuevo en la empre...
5. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA
ANTE LAS INCIDENCIAS
En este apartado
se explica como se
notifican ...
Además, hay que definir una
metodología para revisar los cambios
que se produzcan
6. PROCEDIMIENTOS DE REVISIÓN
Cual es
el...
ANEXO I. DESCRIPCIÓN DE FICHEROS
Actualizado a: <fecha de la última actualización del anexo>.
<Se incluirá un anexo de est...
• Administrador: <persona designada para conceder, alterar, o anular el
acceso autorizado a los datos>.
• Leyes o regulaci...
- Transferencias Internacionales: <relacionar las transferencias internacionales, especificando si
ha sido necesaria la au...
En su caso, personas en las que el responsable del fichero ha delegado
<Indicar las autorizaciones, tales como: salida de ...
<Si el registro de incidencias no está informatizado, recoger en este
anexo la información al efecto, según lo indicado en...
<Cuando el acceso de un tercero a los datos del responsable del fichero
sea necesario para la prestación de un servicio a ...
<En el caso de que no sea posible adoptar las medidas exigidas por el
RLOPD en relación con la identificación de los sopor...
IDENTIFICAR LOS NIVELES DE
SEGURIDAD
1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD
1.1. Nivel Alto
1.2. Nivel Medio
1.3. Ni...
1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD
El reglamento de desarrollo de la LOPD fija tres niveles de seguridad
atendie...
1.1. NIVEL ALTO
Ficheros o tratamientos que se refieran a:
Datos de ideología, afiliación sindical, religión, creencias,
o...
1.2. NIVEL MEDIO
Ficheros o tratamientos relativos a la comisión de infracciones
administrativas o penales
1
• Datos de ca...
1.3. NIVEL BÁSICO
Todos los ficheros que contengan datos de carácter personal
EXCEPCIONES
En caso de ficheros o tratamient...
GARANTIZAR LOS DERECHOS DE
LOS CIUDADANOS
1. DERECHOS DE LOS CIUDADANOS
1.1. Derecho de Acceso
1.2. Derecho de Rectificaci...
La LOPD, permite a cualquier ciudadano dirigirse al Registro General de
Protección de Datos (RGPD) con el fin de obtener i...
La AEPD NO dispone de los datos personales de los ciudadanos
incluidos en los ficheros declarados, pero SÍ puede, previa
s...
1.1. DERECHO DE ACCESO
El ejercicio del derecho de acceso permite controlar la exactitud de los
datos, y en caso de ser ne...
El ciudadano puede solicitar y obtener gratuitamente información sobre:
- Sus datos de carácter personal sometidos a trata...
Para ejercer este derecho el ciudadano tiene que dirigirse al
responsable del fichero o tratamiento, aportando:
- Fotocopi...
El responsable del fichero o tratamiento tiene que resolver la solicitud
de acceso en el plazo máximo de un mes a contar d...
Puede denegarse el derecho de acceso cuando:
- Pueda suponer un peligro para la defensa del Estado o la seguridad
pública....
1.2. DERECHO DE RECTIFICACIÓN
La LOPD, reconoce al ciudadano el derecho a dirigirse al responsable de
un fichero o tratami...
El responsable del fichero o tratamiento tiene el deber de atender el
derecho de rectificación en el plazo de diez días há...
1.3. DERECHO DE CANCELACIÓN
Este derecho ofrece al ciudadano la posibilidad de dirigirse al
responsable para solicitar la ...
El responsable del fichero o tratamiento tiene la obligación de hacer
efectivo el derecho de cancelación en el plazo de di...
El responsable del fichero o tratamiento podrá denegar la cancelación,
tanto en el caso de ficheros privados como públicos...
1.4. DERECHO DE OPOSICIÓN
Toda persona tiene la posibilidad de oponerse, por un motivo legitimo y
fundado, referido a una ...
En relación a los tratamientos de datos con fines de publicidad y de
prospección comercial, los ciudadanos pueden ejercer ...
El derecho de oposición puede ejercitarse:
- Cuando no es obligatoria la recogida de los datos renunciando a otorgar el
co...
Para ello, se puede ejercer el derecho de consulta al Registro General de
Protección de Datos, así como los derechos de ac...
Además, si de dichas actuaciones se derivase un perjuicio para los
interesados, los mismos podrán reclamar la correspondie...
2. TUTELA DE DERECHOS
El procedimiento de tutela tiene por finalidad garantizar el ejercicio
efectivo por parte del ciudad...
La Agencia, a continuación, da traslado de la reclamación al
responsable del fichero o tratamiento instándole para que, en...
Prochain SlideShare
Chargement dans…5
×

Guia implantacion de lopd

7 665 vues

Publié le

Guía implantación de la Ley Orgánica de Protección de Datos

Publié dans : Droit
  • Soyez le premier à commenter

Guia implantacion de lopd

  1. 1. IMPLANTACIÓN L.O.P.D. EN LA EMPRESA GUÍA PRÁCTICA
  2. 2. • Qué hacer para implantar la LOPD • Pasos a seguir IMPLANTACIÓN DE LA LOPD EN LA EMPRESA • Como inscribir un fichero en la AEPD • Cumplimentar el formulario INSCRIPCIÓN DE FICHEROS • Contenido del documento • Apartados (5) • Anexos (9) ELABORACIÓN DEL MANUAL DE SEGURIDAD • Nivel alto • Nivel medio • Nivel básico IDENTIFICAR LOS NIVELES DE SEGURIDAD •Derechos de los ciudadanos •Tutela de derechos GARANTIZAR LOS DERECHOS DE LOS CIUDADANOS ÍNDICE
  3. 3. Con este curso se pretende, una vez alcanzados los conocimientos teóricos, adquirir las habilidades prácticas para poder realizar la implantación de las medidas de seguridad, técnicas y organizativas, necesarias para garantizar los principales aspectos que han de tener en cuenta las empresas a la hora de tratar los datos de carácter personal de sus clientes, proveedores, personal, etc., respetando, en todo caso: INTRODUCCIÓN Los derechos de los usuarios respecto a sus propios datos Las obligaciones, que como responsable de los ficheros han de tener en cuenta
  4. 4. IMPLANTACIÓN DE LA LOPD EN LA EMPRESA 1. QUE HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA 2. PASOS A SEGUIR 2.1. Determinar que ficheros contienen datos de carácter personal 2.2. Registrar todos los ficheros con datos personales en la AEPD 2.3. Elaborar el documento de seguridad 2.4. Identificar los niveles de seguridad que corresponden a los ficheros 2.5. Garantizar los derechos a los usuarios
  5. 5. 1. QUÉ HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA Cumplir con la Ley de Protección de Datos es obligatorio para cualquier empresa o profesional Desde el momento que se faciliten o recopilen datos personales, deben ser tratados y guardados con el mayor rigor posible La Agencia Española de Protección de Datos es el Órgano competente para velar por este derecho fundamental
  6. 6. 2. PASOS A SEGUIR 2. REGISTRAR TODOS LOS FICHEROS CON DATOS PERSONALES EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS 3. ELABORAR EL DOCUMENTO DE SEGURIDAD PARA ESOS FICHEROS 4. IDENTIFICAR LOS NIVELES DE SEGURIDAD QUE CORRESPONDEN A LOS FICHEROS 5. GARANTIZAR LOS DERECHOS A LOS USUARIOS 1. DETERMINAR QUE FICHEROS CONTIENEN DATOS DE CARÁCTER PERSONAL
  7. 7. Analizar qué tipo de datos personales se manipulan en el desarrollo de su actividad Identificar aquellos archivos susceptibles de ser inscritos en la Agencia de Protección de Datos. 2.1. DETERMINAR QUE FICHEROS CONTIENEN DATOS DE CARÁCTER PERSONAL Dependiendo de la actividad de su empresa, deben: LAS EMPRESAS LOS AUTÓNOMOS
  8. 8. PERSONALYNÓMINAS En el momento en el que se contrate a un trabajador CLIENTES Cuando haya clientes, tanto en soporte papel como en ordenador PROVEEDORES Sólo en el caso de tratarse de personas físicas, es decir, autónomos CONTACTOS Sólo de personas físicas CURRICULUM En el caso de recibir curriculum, entregados en mano, por correo electrónico, etc. VIDEOVIGILANCIA En el caso de tener instaladas cámaras de videovigilancia EJEMPLOS DE FICHEROS DE TITULARIDAD PRIVADA
  9. 9. 2.2. REGISTRAR TODOS LOS FICHEROS CON DATOS PERSONALES EN LA A.E.P.D Identidad del responsable del fichero. Nombre y descripción del fichero que tenga datos de carácter personal. Ubicación donde se guarda el fichero. Sistema de tratamiento de la información personal. Medidas de seguridad para preservar la privacidad de los datos. Estructura básica del fichero, es decir, tipos de datos que se contienen en el fichero. Finalidad del fichero y los usos previstos del mismo. Procedencia de los datos y el procedimiento de recogida de los mismos. Departamento ante el que los usuarios pueden ejercer sus derechos sobre los datos. El Formulario de Notificación de Ficheros (NOTA) con la siguiente información A través de internet
  10. 10. Una vez ha sido completada la información requerida, puede enviarse la notificación a la Agencia Española de Protección de Datos a través de internet El proceso se puede desarrollar totalmente online La hoja de solicitud que se genera al completar el formulario hay que enviarla (con el correspondiente código de envío) firmada a la AEPD CON certificado de firma electrónica SIN certificado de firma electrónica
  11. 11. Una vez inscrito el Fichero en el Registro, la Agencia Española de Protección de Datos, lo comunicará indicando el código de inscripción (necesario para posteriores modificaciones o cancelación del fichero) que se le ha asignado al Fichero. Una vez reciban la notificación del fichero y la solicitud de inscripción en la Agencia Española de Protección de Datos, evaluarán la información. Si es correcta procederán a la inscripción del Fichero, y si por el contrario contiene errores solicitarán al Responsable del Fichero la corrección de los mismos. Si es correcta proceden a la inscripción del Fichero SOLICITUD DE INSCRIPCIÓN FICHERO FICHERO NOTIFICACIÓN A.E.P.D. Evaluación de la información recibida Si no es correcta el responsable de fichero procederá a su corrección Comunicación del código de inscripción que se le ha asignado al Fichero
  12. 12. 2.3. ELABORAR EL DOCUMENTO DE SEGURIDAD El responsable del fichero elaborará y establecerá la normativa de seguridad mediante un documento de obligado cumplimiento para el personal de acceso a los datos automatizados de carácter personal y los sistemas de información Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. Medidas, normas, procedimientos, y reglas orientados a garantizar el nivel de seguridad exigido en el Reglamento de la LOPD Funciones y obligaciones del personal Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan Procedimiento de notificación, gestión y respuesta ante las incidencias. Los procedimientos de elaboración de copias de seguridad y de recuperación de datos CONTENIDO DEL DOCUMENTO DE SEGURIDAD
  13. 13. Este documento será el que establezca la normativa de seguridad de la empresa. Deberá conocer y cumplir todo el personal con acceso a los datos y a los sistemas de información. La Agencia de Protección de Datos dispone de un modelo de Documento de seguridad editable y disponible para descargar en su página web
  14. 14. Hay que señalar que la responsabilidad por las infracciones que se cometan, será siempre del responsable del fichero y nunca del responsable de seguridad Si el nivel de seguridad a adoptar es medio o alto, el responsable del fichero designará a un responsable o responsables de seguridad Estos serán los encargados de velar por el cumplimiento de las medidas, normas y reglas de seguridad establecidas por el Responsable del Fichero en el documento de seguridad
  15. 15. 2.4. IDENTIFICAR LOS NIVELES DE SEGURIDAD QUE CORRESPONDEN A CADA FICHERO Nivel Básico: si los ficheros que se guardan contienen únicamente datos de identificación de las personas. Nivel Medio: si se incluyen datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, sobre Servicios Financieros, solvencia patrimonial y crédito... Nivel Alto: si además de datos identificativos se guardan datos con información médica, sobre creencias o religión, de afiliaciones sindicales o políticas, origen racial… La L.O.P.D., según los datos personales que se incluyan en el fichero, contempla tres niveles de seguridad en función del carácter de la información archivada y de su tratamiento
  16. 16. • Existencia de una lista actualizada de usuarios autorizados que tengan acceso al sistema de información. • Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico. • Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables. • Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento de seguridad. • Listado de personal con privilegios administrativos informáticos sobre aplicaciones y ficheros. • Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario. Definición en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles. • Trabajo fuera de ubicación principal debe ser expresamente autorizado. NIVEL BÁSICO
  17. 17. • Descripción y estructura informática del Fichero y del sistema informático en el documento de seguridad. • Identificación, inventariado y almacenamiento de los soportes. Autorización necesaria para salida de soportes. • Registro de incidencias. Contenido mínimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas. • Copias de Respaldo y Recuperación datos que garanticen la restauración de los datos al momento anterior a producirse la pérdida. • Realización de copias de Backup al menos con una frecuencia semanal. • Revisión y actualización del Documento de Seguridad en función de cambios relevantes en la Organización. En caso de ficheros en soporte papel, además:  Control de acceso a la documentación  Medidas de conservación y almacenamiento  Procedimientos y mecanismos de destrucción que impidan posterior recuperación de la información que contienen.
  18. 18. NIVEL MEDIO Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico, más las siguientes:  Identificación de usuario, de manera inequívoca y personalizada.  Limitación de acceso incorrecto reiterado.  Control de acceso físico a servidores y al centro de procesamiento de datos.  Listado de personas con acceso a los mismos.  Identificación y funciones del/los Responsables de Seguridad.  Cifrado de soportes en caso de operaciones externas de mantenimiento. Medidas y procedimientos para la destrucción de soportes. Registro de Entrada y salida de Soportes.  Contenido adicional en el registro de incidencias: Procedimiento de restauración de datos, datos restaurados y datos grabados manualmente.  Necesaria autorización para la ejecución de procedimientos de restauración de datos.  Deberá someterse a una Auditoria cada 2 años. Conservación de Informe a disposición AEPD.
  19. 19. NIVEL ALTO Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico y nivel medio, más las siguientes: • De cada acceso al fichero se guardarán: identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación, guardando la información que permita identificar registro accedido. • Registro y conservación de accesos lógicos al fichero por un plazo no inferior a 2 años. • Los mecanismos de acceso estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación. • Distribución de soportes con mecanismos de cifrado de datos. • Almacenamiento externo de copias de seguridad y procedimientos de restauración de datos. • Revisión periódica de la información de control de los accesos informáticos a ficheros y aplicaciones.
  20. 20. 5. GARANTIZAR LOS DERECHOS DE LOS USUARIOS Derecho de Acceso. Todos los usuarios tienen derecho a conocer qué datos se han almacenado sobre ellos. El plazo máximo para dar respuesta tras la solicitud por parte del usuario: 30 días Derecho de Rectificación. Cualquier usuario puede poder solicitar que se modifiquen sus datos personales si no son correctos. El plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días Derecho de Cancelación. Todos los usuarios pueden solicitar la cancelación de sus datos. El plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días Derecho de Oposición. Cualquier usuario puede oponerse a que se almacenen sus datos. El plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días Los derechos que la LOPD contempla para los usuarios sobre la recogida de datos de carácter personal, son:
  21. 21. INSCRIPCIÓN DE FICHEROS 1. INSCRIBIR UN FICHERO EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS • Formulario NOTA
  22. 22. 1. CÓMO INSCRIBIR UN FICHERO ANTE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) Para llevar a cabo la inscripción de ficheros la Agencia de Protección de Datos proporciona una aplicación gratuita que se puede encontrar en su página web www.agpd.es Una de las obligaciones que marca la Ley 15/1999, de Protección de Datos de Carácter Personal, es el declarar en el Registro General de la Agencia, todos los ficheros que tenga en la empresa y que contengan datos de carácter personal, tales como, empleados, clientes, proveedores, videovigilancia, etc.
  23. 23. La aplicación está situada en la página principal, se llama NOTA y se encuentra en la parte derecha de la página Pinchar sobre él para acceder
  24. 24. El siguiente paso es seleccionar: Obtención del formulario NOTA
  25. 25. Ojo!!! Hay que leer El formulario electrónico NOTA incorpora funcionalidades de dinamismo que requieren la instalación de Adobe Reader versión 7.0.8 o superior. En caso de utilizar versión anterior de Adobe Reader se visualizará un mensaje que dice Archivo Dañado / File Damaged. Si se utiliza la versión 8.1. de Adobe Reader, para cumplimentar los campos desplegados (Actividad, Provincia, País, Países en el formulario de titularidad privada; Provincia,, País, Diario Oficial de Publicación, Fecha de Publicación y Países en el formulario de titularidad pública), se puede visualizar la lista de valores disponibles haciendo “click” con el ratón en la parte derecha campo (donde en las versiones anteriores de Adobe se visualiza el botón que realiza esa función), desplegándose la lista y permitiendo seleccionar un elemento de la misma. También puede introducirse valores situando el cursor en uno de los campos mencionados y utilizando las flechas arriba y abajo hasta encontrar el texto adecuado”.
  26. 26. AVISO IMPORTANTE PARA USUARIOS DE GOOGLE CHROME Google Chrome ejecuta de forma predeterminada un complemento propio (Chrome PDF Viewer) para visualizar documentos PDF, el cual no reconoce las funcionalidades de dinamismo del formulario NOTA de forma que únicamente muestra la primera pregunta y no permite avanzar en la cumplimentación del mismo. Para poder usar adecuadamente el formulario NOTA puede: Configurar Google Chrome para que muestre los documentos PDF ejecutando el complemento de Adobe Reader en lugar del complemento Chrome PDF Viewer, para lo cual puede seguir estas instrucciones: Ojo!!! Hay que leer Continuación
  27. 27. • Pulsar el botón de Personalizar y configurar Google Chrome. • Seleccionar "Mostrar opciones avanzadas..." al final de la página. • Pulsar el botón "Configuración de contenido..." del apartado "Privacidad". • En el apartado "Complementos", seleccionar el enlace "Inhabilitar complementos de forma individual" • En el complemento Chrome PDF Viewer y seleccionar el enlace "Inhabilitar" • En el complemento Adobe Reader y seleccionar el enlace "Habilitar" Usar otro navegador que tenga configurado el complemento de Adobe Reader como predeterminado. Descargar el formulario en su equipo pulsando el botón derecho del ratón sobre el enlace y en el menú contextual seleccionar "Guardar enlace como...". A continuación ejecutar la aplicación Adobe Reader y desde el menú "Archivo / Abrir..." seleccionar el formulario guardado. Ojo!!! Hay que leer
  28. 28. Ojo!!! Hay que leer AVISO IMPORTANTE SOBRE COMPLEMENTO DE NAVEGADORES Algunos navegadores pueden tener configurado por defecto un complemento para visualizar documentos PDF que no es el complemento de Adobe Reader, y que no reconoce las funcionalidades de dinamismo del formulario NOTA. En ese caso, únicamente se muestra la primera pregunta y al seleccionar una de las casillas no muestra la segunda pregunta y no permite avanzar en la cumplimentación del formulario. Para poder usar adecuadamente el formulario NOTA puede: Usar otro navegador que tenga configurado el complemento de Adobe Reader como predeterminado. Continuación
  29. 29. Cambiar el complemento con el que el navegador abre el documento. Así, por ejemplo:  En Google Chrome se muestra un icono en la barra de direcciones que al seleccionarlo ofrece la posibilidad de abrir el formulario con Adobe Reader.  En Mozilla Firefox se muestra la advertencia de que el documento PDF podría no mostrarse correctamente junto con un botón "Abrir con un visor diferente" que le permite seleccionar el complemento de Adobe Reader para abrir el formulario. Descargar el formulario en su equipo pulsando el botón derecho del ratón sobre el enlace y en el menú contextual seleccionar "Guardar enlace como...". A continuación ejecutar la aplicación Adobe Reader y desde el menú "Archivo / Abrir..." seleccionar el formulario guardado. Ojo!!! Hay que leer
  30. 30. Una vez realizadas las configuraciones pertinentes bajar con el cursor hasta la parte inferior de la página y seleccionar el enlace: Formulario Nota de titularidad privada
  31. 31. Se accede al formulario disponible en formato PDF para comenzar la declaración La primera pregunta que se encuentra es, que tipo de solicitud queremos realizar: un alta, una modificación de un fichero previamente declarado o una supresión
  32. 32. En este caso marcaremos ALTA A continuación aparece otro desplegable que pregunta que modelo de declaración queremos realizar: Normal o Tipo
  33. 33. En la declaración TIPO están los ficheros mas comunes Al ser tipo parte de los formularios vienen ya rellenos Si dentro de este desplegable no encontramos la opción que necesitamos, elegiremos la opción NORMAL
  34. 34. La siguiente pregunta es como vamos a hacer la presentación del formulario ante la Agencia. Esta se puede hacer a través de: - Correo postal - Internet con firma digital - Internet sin firma digital Como ejemplo vamos a elegir la declaración TIPO y el fichero CLIENTES/PROVEEDORES
  35. 35. Es la forma mas sencilla, para ello, hay que rellenar un formulario, el cual debe ir firmado en la última hoja de forma manuscrita y enviado por fax o por correo postal a la Agencia Española de Protección de datos POR Internet sin Firma Electrónica POR Internet con Firma Electrónica Si se dispone de firma electrónica se puede presentar directamente con medios electrónicos sin necesidad de papel Seleccionar Internet y cumplimentar
  36. 36. Se procede a cumplimentar el formulario En el primer apartado se encuentran los datos del responsable del fichero, es decir, de la empresa (nombre, dirección, CIF y actividad a la que se dedica, que se selecciona mediante un desplegable). En el segundo se debe indicar los datos de la empresa en los que un usuario puede ejercer los derechos de acceso, rectificación, cancelación y oposición. Normalmente deben coincidir con el apartado uno
  37. 37. En el apartado cuatro se debe indicar los datos de la empresa que realice el tratamiento de datos de carácter personal de este fichero, en caso de que sea un tercero quien lo realice.
  38. 38. En el apartado quinto se indicará los datos del fichero que se va a notificar. Como se puede comprobar parte del fichero está relleno por haber optado por la opción TIPO en el formulario Aunque sea TIPO se puede modificar el nombre, la descripción o la finalidad que aparece ya predeterminada. En este supuesto se pueden elegir otras opciones de la izquierda si se quiere ampliar la finalidad del fichero.
  39. 39. En el apartado sexto hay que marcar la casilla de la procedencia de los datos, si es a través del propio interesado, de un registro público, etc., y del colectivo al que pertenece, en este caso a CLIENTES que ya está relleno por defecto,
  40. 40. En el caso que nos ocupa CLIENTES no hay datos de este tipo por lo que no se selecciona ninguna casilla de estos apartados. Si vienen mas abajo detalladas, al ser un fichero TIPO, las mas corrientes (nombre, apellidos, teléfono, etc.) Si se tuviera algún datos mas se seleccionaría la casilla correspondiente, o se indicaría en otros de los de carácter identificativo En el apartado siete se seleccionan los datos concretos que va a incorporar el fichero que se está notificando. Si hay algún dato especialmente protegido de los que se especifican en el formulario se debe marcar la casilla correspondiente.
  41. 41. En el apartado sistema de tratamiento se debe indicar, si va a ser manual, es decir, en formato papel, automatizado o mixto, dependiendo de cómo se gestionen los datos de carácter personal del fichero. En el apartado medidas de seguridad viene marcado por defecto, NIVEL BÁSICO, en función de los datos que se han introducido anteriormente. En caso de que se hubiese marcado alguna de las casillas de datos especialmente protegidos, seria de nivel alto
  42. 42. En el apartado nueve, se indica si se va hacer alguna cesión de datos de este fichero, es decir, si se van a ceder datos de los clientes a algún Organismo o Entidad. Si es así se seleccionan, además, de los datos que están predeterminados, los de la columna de la izquierda. Una vez cumplimentado el formulario, hay varias opciones: Guardar. Imprimir, Limpiar, Validar, Volver a las preguntas iníciales y Cumplimentar hoja de solicitud CUMPLIMENTAR HOJA DE SOLICITUD
  43. 43. CUMPLIMENTAR EL FORMULARIO Una vez seleccionada CUMPLIMENTAR HOJA DE SOLICITUD para terminar definitivamente (en este caso no se puede porque no se han rellenado todos los campos correctamente, por ser un ejemplo) se debe indicar los datos del responsable de seguridad, que es la persona encargada dentro de la empresa de todo lo relativo a la protección de datos. Así como, una dirección donde la Agencia pueda notificar la inscripción de ese fichero y su código. Una vez finalizada ésta última hoja, aparece una prescripción cumplimentada con los datos de la empresa, el responsable de seguridad, que deberá ser enviada a la Agencia mediante fax 914452529 o por correo postal a la dirección de la empresa
  44. 44. ELABORACIÓN DEL MANUAL DE SEGURIDAD 1. INTRODUCCIÓN 2. ÁMBITO DE APLICACIÓN 3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD 4. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL 5. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS 6. PROCEDIMIENTOS DE REVISIÓN 7. CONTENIDO DEL MANUAL DE SEGURIDAD
  45. 45. Las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal. El artículo 9 de la LOPD establece que: El “responsable del fichero”, y, en su caso, el “encargado del tratamiento”, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal. El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece que: 1. INTRODUCCIÓN
  46. 46. Entre estas medidas que se deben adoptar, se encuentra el DOCUMENTO DE SEGURIDAD, cuya misión es recoger las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal. Cuando la elaboración del documento sea realizada por el propio personal de la empresa, la Agencia Española de Protección de Datos pone a disposición del ciudadano un MANUAL QUE DESARROLLA EL DOCUMENTO DE SEGURIDAD, el cual se puede utilizar y adaptar a las peculiaridades de la empresa en cuestión. DOCUMENTO DE SEGURIDAD •MISIÓN Recoger las medidas de índole técnica y organizativa •DE OBLIGADO CUMPLIMIENTO Para el personal con acceso a los datos de carácter personal.
  47. 47. Para disponer de este documento hay que entrar en la página web de la Agencia: https//www.agpd.es Una vez en la página principal pinchar en Canal del Responsable, y dentro de este en “Guía documento de seguridad”
  48. 48. En la pantalla que se abre pinchar en Guía modelo del Documento de Seguridad (formato editable). Se abre un documento Word, en el cual se puede trabajar.
  49. 49. APARTADOS • Ámbito de aplicación del documento. • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento. • Información y obligaciones del personal. • Procedimientos de notificación, gestión y respuestas ante las incidencias. • Procedimientos de revisión. ANEXOS • ANEXO I. Descripción de ficheros. • ANEXO II. Nombramientos. • ANEXO III. Autorizaciones de salida o recuperación de datos. • ANEXO IV. Delegación de autorizaciones. • ANEXO V. Inventario de soportes. • ANEXO VI. Registro de Incidencias. • ANEXO VII. Encargados de tratamiento • ANEXO VIII. Registro de entrada y salida de soportes. • ANEXO IX. Medidas alternativas El contenido del documento está organizado en: - Cinco apartados - Nueve anexos
  50. 50. Todo lo que hay dentro de estos signos son comentarios explicativos que deben ser sustituidos por el contenido que se adapte a la empresa que estamos tratando. En la Guía modelo del Documento de Seguridad (formato editable) hay que tener en cuenta los signos < >. Ejemplos de datos que deben desarrollarse
  51. 51. ÁMBITO DE APLICACIÓN CONTENIDODELDOCUMENTO El nombre del responsable del/os ficheros, es decir a quien pertenece (nombre de la empresa) La relación de ficheros de los que dispone la empresa con datos de carácter personal, es decir, aquellos a los que hay que aplicar la LOPD. Estos ficheros deben coincidir con los que se han inscrito en la Agencia Española de Protección de Datos Formas del sistema en las que se realiza la inscripción, automatizadas, manuales o mixtas El nivel de seguridad, si el contenido del fichero es básico, medio o alto 2. ÁMBITO DE APLICACIÓN
  52. 52. En este apartado se tratan las distintas medidas de seguridad que se deben tomar para cumplir con la LOPD, es decir, como se van a tomar estas medidas en función de la categoría del fichero y en según el tipo de fichero el reglamento especifica los puntos que hay que cumplir, pudiendo haber mas o menos en función del mismo. 3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD En el se definen, entre otros, los siguientes aspectos Cuando se hacen las copias de seguridad Cómo se garantiza que los usuarios que están en el sistema son los que deberían entrar Cómo garantiza la empresa que un intruso no pueda entra en el sistema
  53. 53. Por ello, es importante tener protocolizado un procedimiento de actuación para que cuando entre personal nuevo en la empresa, tenga claras las normas de actuación. 4. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL Este apartado trata como ha de ser la información y las obligaciones que deben cumplir el personal de la empresa. Se especifica el procedimiento que se ha de llevar a cabo para que los trabajadores queden informados de cuales son las normas que debe cumplir a nivel de la LOPD y como deben aplicarse, es decir, se deben indicar las obligaciones que tienen con respecto a los datos de carácter personal y las funciones propias de su puesto de trabajo. Si un trabajador no tiene especificadas cuales son sus obligaciones, no será responsable de cualquier acción incorrecta con los datos que maneja, siendo responsable la empresa que ha sido quien no ha notificado correctamente al personal.
  54. 54. 5. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS En este apartado se explica como se notifican las distintas incidencia que se pueden presentar y como han de hacerse. Una incidencia es una actuación de no conformidad con respecto a los contenidos que la LOPD propone, es decir, una actuación incorrecta o que no responde a las exigencias de la ley. El procedimiento a seguir es mediante una tabla de registro donde se anoten todas las incidencias explicando qué y cómo se ha hecho par solventarlas y procurar que no vuelvan suceder.
  55. 55. Además, hay que definir una metodología para revisar los cambios que se produzcan 6. PROCEDIMIENTOS DE REVISIÓN Cual es el Procedi miento •De revisión de los contenidos del Documento de Seguridad Cual es el criterio •Para revisarlo Como •Se revisa Cuando •Se revisa Cuales •Son los puntos a revisar En este punto se tratan:
  56. 56. ANEXO I. DESCRIPCIÓN DE FICHEROS Actualizado a: <fecha de la última actualización del anexo>. <Se incluirá un anexo de este tipo por cada fichero incluido en el ámbito del documento de seguridad, podrían denominarse ANEXO I a, b, c, etc.>. • Nombre del fichero o tratamiento: <rellenar con nombre del fichero>. • Unidad/es con acceso al fichero o tratamiento: <especificar departamento unidad con acceso al fichero, si aporta alguna información>. • Identificador y nombre del fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos: <rellenar los siguientes campos con los datos relativos a la inscripción del fichero en el Registro General de Protección de Datos (RPGD)>.  Identificador: <código de inscripción>  Nombre: <nombre inscrito>  Descripción: <descripción inscrita>  Nivel de medidas de seguridad a adoptar: <básico, medio o alto> 7. CONTENIDO DEL DOCUMENTO
  57. 57. • Administrador: <persona designada para conceder, alterar, o anular el acceso autorizado a los datos>. • Leyes o regulaciones aplicables que afectan al fichero o tratamiento <si existen>. • Código Tipo Aplicable: <se indicará aquí si el fichero está incluido en el ámbito de alguno de los códigos tipo regulados por el articulo 32 de la LOPD>. • Estructura del fichero principal: <incluir los tipos de datos personales contenidos en el fichero, especificando aquellos que, por su naturaleza, afectan al nivel de medidas de seguridad a adoptar, según lo indicado en el artículo 81 del Reglamento de desarrollo de la LOPD >. INFORMACIÓN SOBRE EL FICHERO O TRATAMIENTO - Finalidad y usos previstos. - Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar los datos personales, y procedencia de los datos: <indicar procedencia de los datos, quién suministra los datos>. - Procedimiento de recogida: <encuestas, formularios en papel, Internet. ..>. - Cesiones previstas: <relacionar los destinatarios de los datos previstos>.
  58. 58. - Transferencias Internacionales: <relacionar las transferencias internacionales, especificando si ha sido necesaria la autorización del Director de la Agencia Española de Protección de Datos>. - Sistema de tratamiento: <automatizado, manual o mixto>. - Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición: <indicar la unidad y/o dirección. Deben preverse además, los procedimientos internos para responder a las solicitudes de ejercicio de derechos de los interesados>. - Descripción detallada de las copias de respaldo y de los procedimientos de recuperación <Especificar la periodicidad de las copias (que debe ser al menos semanal). Si se trata de ficheros manuales y tienen prevista alguna medida en este sentido, detallarla>. - Información sobre conexión con otros sistemas: <Describir las posibles relaciones con otros ficheros del mismo responsable>. - Funciones del personal con acceso a los datos personales: <Especificar las diferentes funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y sistema de información específicos de este fichero>. - Descripción de los procedimientos de control de acceso e identificación: <Cuando sean específicos para el fichero>. - Relación actualizada de usuarios con acceso autorizado: <Relacionar todos los usuarios que acceden al fichero, con especificación del tipo o grupo de usuarios al que pertenecen, su clave de identificación, nombre y apellidos, unidad, fecha de alta y fecha de baja>. <Si la relación se mantiene de forma informatizada, indicar aquí cual es el sistema utilizado y la forma de obtener el listado. No obstante, siempre que sea posible, es conveniente imprimir la relación de usuarios y adjuntarla periódicamente a este Anexo>.
  59. 59. En su caso, personas en las que el responsable del fichero ha delegado <Indicar las autorizaciones, tales como: salida de dispositivos portátiles, la copia o reproducción de documentos en soporte papel,…>. <Adjuntar original o copia de los nombramientos que afecten a los diferentes perfiles incluidos en este documento, como el del responsable de seguridad>. ANEXO III AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS <Adjuntar las autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carácter personal, incluyendo aquellas que se refieran a salidas que tengan un carácter periódico o planificado. Incluir asimismo, las autorizaciones relativas a la ejecución de los procedimientos de recuperación de datos>. ANEXO II. NOMBRAMIENTOS ANEXO IV DELEGACIÓN DE AUTORIDADES
  60. 60. <Si el registro de incidencias no está informatizado, recoger en este anexo la información al efecto, según lo indicado en el apartado de "Procedimientos de notificación, gestión y respuesta ante las incidencias" de este documento>. <Si el registro de incidencias está informatizado, indicar la aplicación o ruta de acceso del acceso del archivo de lo contiene>. <Si el inventario de soportes no está informatizado, recoger en este anexo la información al efecto, según lo indicado en el apartado de “Gestión de soportes y Documentos” de este documento. Los soportes deberán permitir identificar el tipo de información, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en este documento>. <Si el inventario de soportes está informatizado, indicar la aplicación o ruta de acceso del archivo que lo contiene>. ANEXO VI REGISTRO DE INCIDENCIAS ANEXO V INVENTARIO DE SOPORTES
  61. 61. <Cuando el acceso de un tercero a los datos del responsable del fichero sea necesario para la prestación de un servicio a este último, no se considera que exista comunicación de datos. Recoger aquí el contrato que deberá constar por escrito o de alguna otra forma que permita acreditar su celebración y contenido, y que establecerá expresamente que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y que no los comunicarán, ni siquiera para su conservación a otras personas. El contrato estipulará las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el encargado del tratamiento está obligado a implementar>. ANEXO VII ENCARGADOS DEL TRATAMIENTO
  62. 62. <En el caso de que no sea posible adoptar las medidas exigidas por el RLOPD en relación con la identificación de los soportes, los dispositivos de almacenamiento de los documentos o los sistemas de almacenamiento de la información, indicar las causas que justifican que ello no sea posible y las medias alternativas que se han adoptado>. <Si el registro de entrada y salida de soportes al que se refiere el apartado de "Gestión de soportes y documentos", y que es obligatorio a partir del nivel medio, no está informatizado, recoger en este anexo la información al efecto, según lo indicado el artículo 97 del RLOPD>. <Si el registro de entrada y salida está informatizado, indicar la aplicación o ruta de acceso del acceso del archivo de lo contiene>. ANEXO VIII REGISTRO DE ENTRADA Y SALIDA DE SOPORTES ANEXO IX MEDIDAS ALTERNATIVAS
  63. 63. IDENTIFICAR LOS NIVELES DE SEGURIDAD 1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD 1.1. Nivel Alto 1.2. Nivel Medio 1.3. Nivel Básico
  64. 64. 1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD El reglamento de desarrollo de la LOPD fija tres niveles de seguridad atendiendo a la naturaleza de la información. Los niveles de seguridad son acumulativos de modo que un fichero de nivel alto deberá aplicar también las medidas previstas en los niveles básico y medio.
  65. 65. 1.1. NIVEL ALTO Ficheros o tratamientos que se refieran a: Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual Datos que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas Datos que contengan datos derivados de actos de violencia de género
  66. 66. 1.2. NIVEL MEDIO Ficheros o tratamientos relativos a la comisión de infracciones administrativas o penales 1 • Datos de carácter personal relativos a la comisión de infracciones penales o administrativas incluidos en ficheros de las Administraciones pública 2 • Datos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias 3 • Datos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros 4 • Datos de servicios de información sobre la solvencia patrimonial y el crédito 5 • Entidades Gestoras y Servicios Comunes de la Seguridad Social 6 • Mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social 7 • Datos de carácter personal que ofrezcan una definición de las características o de la personalidad
  67. 67. 1.3. NIVEL BÁSICO Todos los ficheros que contengan datos de carácter personal EXCEPCIONES En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual será suficiente la implantación de las medidas de seguridad de nivel básico cuando: Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad Se trate de ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos
  68. 68. GARANTIZAR LOS DERECHOS DE LOS CIUDADANOS 1. DERECHOS DE LOS CIUDADANOS 1.1. Derecho de Acceso 1.2. Derecho de Rectificación 1.3. Derecho de Cancelación 1.4. Derecho de Oposición 2. TUTELA DE LOS DERECHOS
  69. 69. La LOPD, permite a cualquier ciudadano dirigirse al Registro General de Protección de Datos (RGPD) con el fin de obtener información sobre:  La existencia de tratamientos de datos de carácter personal  De sus finalidades  De la identidad del responsable del mismo. La consulta al RGPD es pública y gratuita, y su objeto es hacer posible a todo ciudadano el ejercicio sus derechos como ciudadanos. Dichos derechos son: 1. DERECHOS DE LOS CIUDADANOS Derecho de acceso Derecho de rectificación Derecho de cancelación Derecho de oposición
  70. 70. La AEPD NO dispone de los datos personales de los ciudadanos incluidos en los ficheros declarados, pero SÍ puede, previa solicitud de la persona afectada o bien de su representante, facilitar la dirección de la oficina o dependencia del responsable del fichero o tratamiento ante la que se pueden ejercer los derechos de acceso, rectificación, cancelación u oposición, siendo el citado responsable quien debe atender la petición efectuada por la persona titular de los datos. La consulta al RGPD puede realizarse: - Por escrito - A través de la página web de la Agencia www.agpd.es, en la que mensualmente se actualiza la información sobre los ficheros y tratamientos inscritos.
  71. 71. 1.1. DERECHO DE ACCESO El ejercicio del derecho de acceso permite controlar la exactitud de los datos, y en caso de ser necesario: - Hacerlos rectificar o cancelar Ejerciendo el derecho de acceso, la persona puede informase: - De las finalidades del tratamiento. - Del tipo de datos registrados. - De su origen. - De los destinatarios de los datos - De las posibles transferencias de datos a otros países Toda persona tiene derecho a dirigirse al responsable o encargado de un fichero o tratamiento para: - Conocer la totalidad de los datos personales que le afecten así mismo. - Recibir una copia inteligible de los mismos - Cualquier otra información sobre su origen
  72. 72. El ciudadano puede solicitar y obtener gratuitamente información sobre: - Sus datos de carácter personal sometidos a tratamiento. - La información disponible sobre el origen de dichos datos - De las comunicaciones realizadas o que se prevean realizar. Esta información puede obtenerse bien mediante la mera consulta de los datos por medio de: - Su visualización en pantalla - O bien a través de escrito, copia, telecopia o fotocopia, certificada o no, realizada en forma inteligible, sin utilizar claves o códigos que requieran para su comprensión el uso de dispositivos mecánicos específicos. El derecho de acceso respecto de los tratamiento realizados por una determinada entidad, persona u órgano administrativo, sólo podrá ejercitarse a intervalos no inferiores a doce meses, salvo que el ciudadano acredite un interés legítimo que posibilite su ejercicio con anterioridad al cumplimiento de dicho período. Cómo obtener la información
  73. 73. Para ejercer este derecho el ciudadano tiene que dirigirse al responsable del fichero o tratamiento, aportando: - Fotocopia del DNI o documento que acredite la identidad y sea admitido en Derecho. - Documento acreditativo en caso de que lo realice el representante - Indicar el domicilio a efectos de notificaciones. - Fecha y firma del solicitante. Los ciudadanos deben utilizar cualquier medio que permita acreditar el envío y la recepción de la solicitud. Cómo ejercer el derecho de acceso
  74. 74. El responsable del fichero o tratamiento tiene que resolver la solicitud de acceso en el plazo máximo de un mes a contar desde la fecha en que haya recibido la solicitud. En caso de estimar la solicitud, el acceso debe hacerse efectivo en el plazo de los diez días siguientes a la notificación Cómo resolver La obligación de contestar a dicha solicitud ha de producirse con independencia de que figuren o no datos personales del ciudadano en sus ficheros. La contestación al derecho de acceso ha de practicarse utilizando cualquier medio que permita acreditar el envío y la recepción de la misma.
  75. 75. Puede denegarse el derecho de acceso cuando: - Pueda suponer un peligro para la defensa del Estado o la seguridad pública. - Proteja los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando, o en el caso de ficheros de la Hacienda Pública. - Este derecho obstaculiza las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias. - El afectado esté siendo objeto de actuaciones inspectoras. Denegación derecho MODELO PARA EJERCER EL DERECHO DE ACCESO https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/derechos /principales_derchos/acceso-ides-idphp.php
  76. 76. 1.2. DERECHO DE RECTIFICACIÓN La LOPD, reconoce al ciudadano el derecho a dirigirse al responsable de un fichero o tratamiento para que rectifique sus datos personales. - Si un ciudadano contrasta que sus datos personales son inexactos tiene derecho a solicitar su rectificación ante el responsable. La solicitud de rectificación debe indicar: - El dato que se estima erróneo - La corrección que debe realizarse Debe ir acompañada de la documentación justificativa de la rectificación solicitada. Este derecho puede ejercitarse cuando: - El tratamiento contenga datos inexactos o incompletos.
  77. 77. El responsable del fichero o tratamiento tiene el deber de atender el derecho de rectificación en el plazo de diez días hábiles. Deberá contestar de forma motivada a la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción de su respuesta. Si los datos rectificados hubieran sido cedidos previamente a un tercero, el responsable del fichero tiene la obligación de notificar al cesionario la rectificación practicada. Cómo resolver MODELO PARA EJERCER EL DERECHO DE RECTIFICACIÓN https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/de rechos/principales_derchos/rectificacion-ides-idphp.php
  78. 78. 1.3. DERECHO DE CANCELACIÓN Este derecho ofrece al ciudadano la posibilidad de dirigirse al responsable para solicitar la cancelación de sus datos personales. - Si un ciudadano verifica que sus datos personales son inexactos o se han tratado ilegalmente, tiene derecho a solicitar su supresión. Este derecho puede ejercerse cuando: - El tratamiento no se ajuste a lo dispuesto en la LOPD - Cuando los datos resulten inexactos o incompletos. En la solicitud de cancelación, el interesado debe indicar la existencia del dato erróneo o inexacto, en cuyo caso deberá acompañar la documentación justificativa. La cancelación dará lugar al bloqueo de los datos cuando: - Sea preciso conservar éstos únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, de cara a posibles responsabilidades.
  79. 79. El responsable del fichero o tratamiento tiene la obligación de hacer efectivo el derecho de cancelación en el plazo de diez días naturales. Si los datos cancelados hubieran sido cedidos previamente a un tercero, el responsable del fichero deberá notificar al cesionario la cancelación efectuada. Cómo resolver Deberá contestar de forma motivada a la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción de su respuesta.
  80. 80. El responsable del fichero o tratamiento podrá denegar la cancelación, tanto en el caso de ficheros privados como públicos, cuando: - Exista un deber legal de conservación de los datos. - Durante el plazo establecido en cada caso por la legislación aplicable. Denegación derecho Asimismo, podrá denegar la cancelación cuando: - La conservación del dato sea necesaria para el cumplimiento de las obligaciones contractuales que le vinculen con el interesado y justifiquen el tratamiento de los datos. - Su cancelación pudiese causar perjuicio al propio ciudadano titular de los mismos o a terceros. MODELO PARA EJERCER EL DERECHO DE CANCELACIÓN https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/dere chos/principales_derchos/cancelacion-ides-idphp.php
  81. 81. 1.4. DERECHO DE OPOSICIÓN Toda persona tiene la posibilidad de oponerse, por un motivo legitimo y fundado, referido a una situación personal concreta: - A figurar en un fichero o al tratamiento de sus datos personales, siempre que una ley no disponga lo contrario. El ciudadano puede oponerse mediante su simple solicitud, a que : - Sus datos sean tratados con fines de publicidad y de prospección comercial En principio, el ciudadano tiene la facultad de disponer y decidir sobre: - Los usos de los datos personales que le conciernen, y por lo tanto, puede oponerse a aparecer en un determinado fichero o a que sus datos sean comunicados a terceros.
  82. 82. En relación a los tratamientos de datos con fines de publicidad y de prospección comercial, los ciudadanos pueden ejercer el derecho de oposición y, a su simple solicitud, el responsable ha de dar de baja sus datos personales en el tratamiento, cancelando de este modo las informaciones que figuraban en el mismo. El responsable del fichero o tratamiento tiene un plazo máximo de un mes a contar desde la recepción de la petición, para resolver la solicitud de oposición. Si transcurrido este plazo no se ha recibido de forma expresa una respuesta a la petición de acceso, ésta puede entenderse desestimada a los efectos de presentar una reclamación de tutela de derechos ante la AEPD. En el caso de que sea procedente acceder a la oposición, el responsable del fichero ha de excluir del tratamiento los datos del ciudadano solicitante. Cómo resolver
  83. 83. El derecho de oposición puede ejercitarse: - Cuando no es obligatoria la recogida de los datos renunciando a otorgar el consentimiento para el tratamiento de datos especialmente protegidos de ideología, religión o creencias, solicitando la eliminación de datos contenidos en ficheros comerciales - Señalando, en su caso, con una x la casilla destinada a indicar que no está de acuerdo con la cesión o comercialización de sus datos. Cómo ejercer el derecho de oposición Mediante una solicitud por escrito dirigida al responsable del fichero o tratamiento. - En la que se hagan constar los motivos fundados y legítimos relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho. Puede ejercerse en el momento de la recogida de la información o posteriormente, dirigiéndose al responsable del fichero. No puede ejercerse ante muchos ficheros de titularidad pública, como por ejemplo, los de Hacienda Pública, los ficheros policiales, Seguridad Social, etc.
  84. 84. Para ello, se puede ejercer el derecho de consulta al Registro General de Protección de Datos, así como los derechos de acceso, rectificación, cancelación y/u oposición, según sea el caso. Si no obtienes un resultado satisfactorio con este procedimiento puedes acudir a la Agencia Española de Protección de Datos. Procedimiento es caso de ser violados los derechos en materia de protección de datos: - Hay que intentar determinar la identidad del responsable del tratamiento Las actuaciones contrarias al derecho fundamental a la protección de datos de carácter personal pueden ser denunciadas por los ciudadanos ante la AEPD y, en su caso, posteriormente ante la jurisdicción contencioso- administrativa.
  85. 85. Además, si de dichas actuaciones se derivase un perjuicio para los interesados, los mismos podrán reclamar la correspondiente indemnización, bien ante la jurisdicción civil, bien ante el Órgano administrativo responsable, a través, en este caso, del procedimiento establecido al efecto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Al ponerte en contacto con la AEPD se debe describir el problema con los suficientes pormenores, para ello, se debe utilizar los formularios disponibles en la página web de la AEPD www.agpd.es. MODELO PARA EJERCER EL DERECHO DE OPOSICIÓN https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/der echos/principales_derchos/oposicion-ides-idphp.php
  86. 86. 2. TUTELA DE DERECHOS El procedimiento de tutela tiene por finalidad garantizar el ejercicio efectivo por parte del ciudadano de los derechos de: • Acceso • Rectificación • Cancelación • Oposición El ciudadano al que le haya sido denegado el ejercicio de los derechos de acceso, rectificación, cancelación y oposición puede ponerlo en conocimiento de la AEPD, para que ésta constate la procedencia o improcedencia de la denegación. Para solicitar la tutela de derechos, el ciudadano tiene que presentar en la AEPD un escrito, en el que se expresen con claridad sus datos, el contenido de la reclamación y los preceptos de la LOPD que considere vulnerados.
  87. 87. La Agencia, a continuación, da traslado de la reclamación al responsable del fichero o tratamiento instándole para que, en el plazo de quince días, formule las alegaciones que estime pertinentes Las resoluciones del Director de la Agencia Española de Protección de Datos son firmes en vía administrativa por lo que contra las mismas sólo se podrá interponer recurso potestativo de reposición, o bien recurso contencioso-administrativo ante la Audiencia Nacional. Los procedimientos de tutela de derechos no tienen carácter sancionador, limitándose a estimar o desestimar las reclamaciones planteadas por los ciudadanos ante la Agencia. Sin embargo, en algunas ocasiones, los hechos constatados en los citados procedimientos pueden dar lugar a la iniciación de procedimientos sancionadores. La AEPD tramitará el correspondiente procedimiento administrativo y resolverá el mismo en el plazo máximo de seis meses, dando traslado de su resolución a las partes.

×