taller smart data protection lopd
TRANSCRIPT
Taller práctico para el
cumplimiento de la Ley
de Protección de Datos
XandruSoft & Smart Data Protection
@xandrucancelas
(CEO de XandruSoft e Ingeniero de seguridad informática)
Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de carácter personal
La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas físicas, y especialmente de su honor
e intimidad personal y familiar.
Calidad de los datos
El principio de calidad de los datos, ligado al principio de proporcionalidad de
los su recogida. datos, exige que los mismos sean adecuados a la finalidad que
motiva.
Los datos beben ser exactos
Deben ser almacenados de forma que permitan el ejercicio del derecho de
acceso
Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos
Fuente:
https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/calidad_d
e_datos/index-ides-idphp.php
Deber de información
Informar a los interesados de la gestión de datos que se realiza y de sus
derechos.
Mostrar estas advertencias de forma claramente legible, si se utilizan
cuestionarios u otros impresos para la recogida
Fuente:
https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/deber_inf
ormacion/index-ides-idphp.php
Tratamiento
Como regla general, la inclusión de datos de carácter personal en un fichero
supondrá un tratamiento de datos de carácter personal, que requerirá, en
principio, el consentimiento del afectado.
Fuente:
https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/tratamient
o_cesion/cesion/index-ides-idphp.php
Cesión
Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el
previo consentimiento del interesado
Fuente:
https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/tratamient
o_cesion/cesion/index-ides-idphp.php
Deber de colaboración con la agencia
Responder a sus solicitudes
Fuente:
https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/deber_col
aboracion/index-ides-idphp.php
Deber de guardar secreto
Se exige a quienes intervengan en cualquier fase del tratamiento de los datos
a guardar secreto profesional sobre los datos, subsistiendo la obligación aún
después de finalizar su relación con el responsable del fichero.
Fuente:
https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/deber_gua
rdar_secreto/index-ides-idphp.php
Atención a los derechos de los
ciudadanos
Derecho de acceso
Derecho de rectificación
Derecho de cancelación
Fuente:
https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/atencion_
derechos_ciudadanos/index-ides-idphp.php
Inscripción de ficheros
Siempre que se proceda al tratamiento de datos personales, definidos en el art. 3,a) de la Ley Orgánica 15/1999, como "cualquier información concerniente a personas físicas identificadas o identificables," que suponga la inclusión de dichos datos en un fichero, considerado por la propia norma (artículo 3.b).), como "conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso," el fichero se encontrará sometido a la Ley, siendo obligatoria su inscripción en el Registro General de Protección de Datos, conforme dispone el artículo 26.
Fuente:
https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/inscripcion_ficheros/index-ides-idphp.php
Medidas de seguridad
Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos
Fuente:
https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/medidas_seguridad/index-ides-idphp.php
¿Qué sanciones me pueden incurrir?
Leves: de 900 a 40.000
Graves: de 40,001 a 300,000
Muy graves: de 300,001 a 600,000
La AEPD se autofinanza y ha endurecido las
sanciones y los controles en los últimos tiempos
¿Qué medidas he de cumplir?
Envío de ficheros
Generación de documentos (actualizados)
Información (P. Privacidad, Aviso Legal y LSSI)
Derechos ARCO
Medidas técnicas
La AEPD establece una serie de medidas para
adecuarse a la LOPD (Ley de Protección de Datos)
¿Quién es el responsable de los datos?
Toma decisiones sobre el tratamiento y uso
Un empleado de la compañía
Recomendable con conocimientos de
seguridad
Lo más común es que sea el responsable de
seguridad de la empresa
¿Quién es el encargado de los datos?
Lo hace por cuenta del responsable
La propia compañía
Terceros con acceso a los datos (ej gestoría)
Persona física o jurídica que trata los datos
¿Cómo envío los ficheros?
En papel, en la propia agencia
Por internet, sin certificado digital
Por internet, con certificado digital
Existen distintas posibilidades para el envío, la
agencia nos lo pone fácil
¿Qué ha de contener el documento de
seguridad?
Responsable de seguridad
Encargado del tratamiento
Quién y qué tipo de acceso tiene a los datos
Incidencias
Registro de soportes, así como E/S
………
En el documento de seguridad quedara reflejado
todo lo relacionado a la gestión de datos
personales por parte de la empresa
¿Para cumplir con los derechos de
acceso?
Un mes para responder
Se ha de responder a todos por el mismo
medio
Siempre se debe responder a las solicitudes
¿Qué medidas técnicas?
Backups periódicos
Datos cifrados
Cambio de contraseñas
Envío por canales seguros
Registro de accesos
En principio, aquellas acordes al nivel de
seguridad de los datos que almacenamos
¿Y en mi página web?
Formularios sólo con los datos imprescindibles
Aviso legal y política de privacidad
LSSI
Aviso de cookies si se dispone de ellas
El usuario es nuestro cliente, quien comprará
nuestros productos, por ello debemos atenderle de
la mejor forma posible, haciéndole sentir tranquilo