Curso Resumen LOPD/LSSI
Curso Resumen
LOPD / LSSI-CE Jesús Fernández Abad - Junio 2011
Curso Resumen LOPD/LSSI
¿QUIÉNES SOMOS? Desde Save & Quality, ayudamos al Profesional Auditor y a las Firmas de Auditoría de mediano y pequeño tamaño en el desempeño de sus funciones, asesorándole con la solución más adecuada.
www.save-quality.es - Servicios:
Control de Calidad Interno del Auditor. Ayuda en el Desarrollo de la Auditoria. Adecuación y Optimización de tiempos y honorarios. Evaluación del entorno informático. Formación
AGENDA
Curso Resumen LOPD/LSSI
1- ANTECEDENTES Inicio Europeo Normativa, LORTAD, Principio fundamental y Proceso Español de la normativa. La LOPD (Ley Orgánica de Protección de Datos de Carácter Personal) y su Reglamento RLOPD
2- DEFINICIONES - Datos de Carácter Personal, Fichero, Niveles y tipo de datos, Responsable del Fichero, Resp. de Seguridad. - Afectado/interesado, Tratamiento de datos por cuenta de Terceros, Cesión de Datos.
3- OBLIGACIONES - Inscripción ficheros, Documento de Seguridad, libro de incidencias, aviso legal, contratos - Sistemas informáticos, procesos y procedimientos, deber de informar. - Infracciones y Sanciones.
4- RESPONSABILIDAD - Recogida de Datos (Calidad, Derecho de información, Consentimiento del afectado). - Tratamiento de Datos (Datos especialmente protegidos, Datos relativos a la salud, Seguridad de los datos, Deber de secreto, Comunicación de los datos, Acceso por cuenta de Terceros). - Obligaciones Administradores y responsables y Obligaciones de los usuarios. - Niveles de Seguridad y medidas a adoptar.
5- AEPD (Agencia Española de Protección de Datos) - Notificación e Inscripción, Modificaciones y Bajas. - Documento de Seguridad y Contenido.
6- LSSI-CE (Ley de Servicios de la Sociedad de la Información) - Obligaciones e información exigida. - Prohibiciones en comunicaciones comerciales y Derechos de los destinatarios. - Infracciones y Sanciones.
Curso Resumen LOPD/LSSI
1- Antecedentes LOPD - Ley Org谩nica de Protecci贸n de Datos
lopd@sertec.com.es
Antecedentes
Curso Resumen LOPD/LSSI
Fechas Clave Normativa Como resumen al proceso de implantación de la normativa, debemos conocer: - Europa En 7-Octubre-1970 se publicó en Alemania, la primera normativa. En 1978 y 1986 fue modificada dos veces, y el 1-jun-1991 entró en vigor En 1981 en el Convenio del Consejo de Europa, y en el acuerdo de Schenger de1985, se estableció que cada país debía adoptar disposiciones nacionales para conseguir un nivel de protección de los datos de carácter personal, y se obligaba a los países firmantes, a tener una Ley de Protección de Datos. - España 29-Oct-1992 se publica la LORTAD (Ley Orgánica de Tratamiento Automatizado de Datos) 13-Dic-1999 se publicó la actual LOPD (Ley Orgánica de Protección de Datos 15/1999) 19-enero-2008 entra en vigor el RDLOPD (nuevo reglamento RD 1720/2007) 1-enero-2010, es de obligado cumplimiento estar adaptado, para todas las empresas y autónomos 5-Marzo-2011, se modifican artículos del régimen sancionador de la LOPD
Antecedentes
Curso Resumen LOPD/LSSI
- Objetivo de la LOPD Regular por Ley, el “tratamiento de los ficheros con datos de carácter personal”, de forma independiente al tipo de soporte en que sean tratados o almacenados: Estableciendo “los derechos que los ciudadanos“ tienen sobre ellos, Definiendo “las obligaciones que las empresas“ que almacenan y tratan esos datos, deben cumplir.
- Objetivo del Reglamento RLOPD Desarrollar y establecer los principios de la Ley Orgánica y las medidas de seguridad que se deben aplicar a los datos: Estableciendo las normas y procedimientos para el almacenamiento/uso de los datos. Definiendo los plazos para adaptar las empresas a la Ley según los tipos de datos que se manejan.
Curso Resumen LOPD/LSSI
2- Definiciones
LOPD - Ley Org谩nica de Protecci贸n de Datos
lopd@sertec.com.es
Definiciones
Curso Resumen LOPD/LSSI
¿Qué son Datos de Carácter Personal? Art. 3 de la LOPD dice: “cualquier información concerniente a personas físicas, identificadas e identificables” Nombre, Teléfono, Foto, Video, la Voz, Dirección IP, E-mail, etc...
¿Qué es un Fichero? Todo conjunto organizado de Datos de Carácter Personal, cualquiera que fuere la forma o modalidad de su creación o tipo de almacenamiento. •Ficheros de: Titularidad Publica y Privada Fichero físico: cada tabla o archivo con datos, en soporte informático o en papel. Fichero lógico: todo conjunto de ficheros físicos, que estén relacionados con un mismo tratamiento o con una finalidad determinada.
Definiciones
Curso Resumen LOPD/LSSI
Tipos de Datos (Niveles) ALTO: •Los ficheros que contengan datos de (ideología, afiliación sindical, religión, creencias, origen racial, salud, o vida sexual)*. •Datos recabados para fines policiales sin consentimiento de las personas afectadas. •Datos derivados de actos de violencia de género. MEDIO: •Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales. •Los de Hacienda pública y servicios financieros. •Aquellos que ofrezcan una definición de las características y permitan evaluar determinados aspectos de la personalidad o el comportamiento de las personas. BASICO: •Aplicable a todo el resto de datos personales. *Son de nivel básico: - si los datos se utilizan con la única finalizad de realizar una transferencia dineraria donde sean socios o miembros, - si se trata de ficheros no automatizados que de forma incidental se almacenen sin guardar relación con su finalidad.
Definiciones
Curso Resumen LOPD/LSSI
¿Quién es el Responsable del fichero? Es la persona física o jurídica, que sólo o conjuntamente con otros, decide sobre la finalidad, el contenido, y su tratamiento, aunque no lo realizase materialmente. O sea, “LA EMPRESA”.
¿Quién es el Responsable de Seguridad? La persona, a la que el responsable del fichero, encomienda y asigna formalmente la función de coordinar y controlar que se aplican las medidas de seguridad previstas en la LEY. La Ley exige que solo cuando se traten datos de nivel medio o alto, debe asignarse un responsable de seguridad del fichero, pero para una mayor eficacia, conviene asignar un responsable de seguridad para cada fichero declarado, y de haber varios responsables diferentes, es importante nombrar un Coordinador de Responsables de Seguridad que centralice y encauce los procedimientos.
Definiciones
Curso Resumen LOPD/LSSI
Cumplimiento Legislativo para la “Recogida y Tratamiento” Toda empresa, debe hacer referencia a “su cumplimiento legislativo a la LOPD”, tanto en el proceso de RECOGIDA de datos, como durante el TRATAMIENTO, CESION, COMUNICACIÓN y/o TRANSFERENCIA de los datos del Afectado.
¿Quién es el Afectado o Interesado? La Persona física titular de los datos que sean objeto del tratamiento. “El Ciudadano.”
¿Qué es el Tratamiento de Datos? Todas las operaciones y procedimientos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, o traslado, de los datos de carácter personal del afectado, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias de los datos de éste.
Definiciones
Curso Resumen LOPD/LSSI
¿Qué es un Tratamiento por Cuenta de Terceros? Cuando los datos de carácter personal, son comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
¿Qué es una Cesión de Datos? Toda revelación o comunicación de datos de carácter personal, realizada a una persona o empresa distinta del interesado o afectado para un fin concreto. Toda cesión, puede definirse como: - Consentida: cuando se ha informado y obtenido autorización del interesado. - Inconsentida: cuando no se ha informado ni obtenido autorización (Sancionable).
Curso Resumen LOPD/LSSI
3- Obligaciones LOPD - Ley Org谩nica de Protecci贸n de Datos
lopd@sertec.com.es
Obligaciones
Curso Resumen LOPD/LSSI
¿Qué obligaciones marca la LOPD para “La Empresa”, como Responsable de los ficheros? - Ante la Administración: • Identificar y registrar los ficheros que contengan datos de carácter personal en la Agencia Española de Protección de Datos. • Efectuar las modificaciones, y bajas en los ficheros. • Asignar un Responsable de Seguridad en caso de nivel medio y alto. - Ante una inspección, es preceptivo tener correctamente adaptada: • La documentación y cláusulas informativas de recogida de información, • Los contratos laborales, y/o de las empresas de servicios que traten datos. • Los Sistemas Informáticos a los requerimientos legales, dependiendo del tipo de datos almacenados. • Los procesos y procedimientos internos de incidencias y auditorias
Obligaciones
Curso Resumen LOPD/LSSI
¿Qué deben cumplir los responsables de los ficheros? Deber de Informar: - A empleados-usuarios: • Sobre sus obligaciones y responsabilidades con el manejo de datos. • Sobre el proceso de cumplimiento de las medidas de seguridad.
- Al ciudadano o interesado: • • • • • •
Obtener su consentimiento previo, expreso e inequívoco de la recogida de sus datos. Informar los fines y destinatarios para los que se recaban sus datos. Recoger datos adecuados, pertinentes y no excesivos. Identificar quién es el Responsable del fichero. Informar cómo y dónde ejercer los derechos ARCO (Acceso, Rectificación Cancelación y Oposición). Ejecutar y contestar en tiempo y forma al Ejercicio de esos derechos
Crear y mantener actualizada la Documentación Legalmente exigida: • • • • •
El Documento de Medidas de Seguridad. El Libro de Registro de incidencias. El Documento de obligaciones de los empleados-usuarios. Las Auditorias especificas Etc.
Obligaciones
Curso Resumen LOPD/LSSI
Siendo Prácticos ¿Por qué proteger los datos?
Motivos operativos • Productividad • Mejora procesos • Rendimiento • Desarrollo del negocio • Seguridad • Calidad • Confianza • Imagen • Etc.
Motivos legales • Obligatorio por Ley • Para evitar Sanciones
Obligaciones
Curso Resumen LOPD/LSSI
¿ Por qué es necesario proteger los datos? Motivos operativos • Los datos personales son un activo muy valioso de cada empresa: son información indispensable para el desarrollo del negocio. • La información ordenada y controlada, ayuda a aumentar la productividad y la calidad de la empresa. En la mayoría de los casos, disponer en orden la información, ayuda a detectar problemas y oportunidades en cualquier tipo de negocio. • Da mayor confianza y ofrece una mejor imagen, una empresa que demuestra que protege los datos de carácter personal de sus empleados, de sus clientes y de sus proveedores.
Obligaciones
Curso Resumen LOPD/LSSI
¿ Por qué es necesario proteger los datos? Motivos legales • La protección de datos es un derecho fundamental de las personas, y las empresas han de cumplir las disposiciones previstas en la Ley. • Se debe respetar el derecho de los ciudadanos a ser informados y a que puedan ejercer sus derechos ARCO (Acceder, Rectificar, Cancelar y Oponerse) sobre los datos de carácter personal que de él se tienen, y se gestionan. • El incumplimiento de la normativa de dicha Ley, así como no demostrar ni tener la diligencia necesaria al proteger dichos datos, puede acarrearle al empresario o la Empresa, Sanciones entre 900€ y 600.000€, dependiendo si la Agencia considera las irregularidades cometidas como faltas “leves, graves o muy graves”.
Obligaciones
Curso Resumen LOPD/LSSI
Infracciones y Sanciones Responsabilidad por infracciones de Organismos Públicos: • El director de la AEPD dictará resolución con las medidas que proceden adoptarse para que cesen los efectos de la infracción. •Iniciación de actuaciones disciplinarias si procedieran, No hay sanciones económicas.
Responsabilidad por infracciones de Profesionales y Empresas: • El director de la AEPD dictará resolución y abrirá expediente sancionador. • Los responsables de los ficheros, y los encargados de los tratamientos, estarán sujetos al régimen sancionador establecido en la LOPD y el RLOPD.
Obligaciones
Curso Resumen LOPD/LSSI
Infracciones y sanciones LOPD 15/1999 (Artículos 43, 44 y 45) Faltas Leves (Sanciones entre 100.000Pts-10MPts 600€ y 60.100€) •No solicitar la inscripción de los ficheros en la Agencia Española de Protección de Datos (AEPD). •No atender debidamente las solicitudes de cancelación o rectificación de datos. •No atender las consultas de la AEPD. •Recopilar o almacenar datos sin la debida autorización e información de su uso y destino.
Faltas Graves (Sanciones entre 10Mpts-50Mpts 60.101€ y 300.506€). •Uso de los datos para finalidades distintas a las que se recopilaron. •No mantener las garantías de seguridad exigidas en la Ley. •Mantener datos inexactos o no efectuar las rectificaciones, cuando resulten afectados los derechos de las personas. •La obstrucción al ejercicio de la función inspectora. •No cumplimentar ni remitir a la AEPD las notificaciones previstas en la LOPD.
Faltas MUY Graves (Sanciones entre 50Mpts-100Mpts 300.507€ y 601.012€). •La recogida de datos en forma engañosa. •La comunicación de los datos o la cesión inconsentida. •Recabar datos sin que medie consentimiento expreso del afectado. •Vulnerar el deber de guardar secreto sobre datos de Ideología, Afiliación Sindical, Religión y Creencias, Origen Racial, Salud y Vida Sexual. •No cesar en el uso ilegitimo de los datos tras ser requeridos.
Curso Resumen LOPD/LSSI
Obligaciones
NUEVAS Infracciones y sanciones – Modificación LOPD 5/3/11 (Artículos 44 y 45) Faltas Leves (Sanciones entre 600€ y 60.100€) 900€ y 40.000€) •No remitir a la Agencia Española de Protección de Datos (AEPD) las notificaciones previstas en la Ley o en sus disposiciones. •No solicitar la inscripción de los ficheros en el Registro General de la AEPD. •El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos siendo recabados por el interesado. •La transmisión de los datos a un encargado del tratamiento sin cumplir los deberes formales establecidos en el art. 12 de la Ley.
Faltas Graves (Sanciones entre 60.101€ y 300.506€ 40.001€ y 300.000€) •Creación de ficheros sin inscripción previa. •Tratar datos sin recabar el consentimiento. •Tratar datos con conculcación de principios y garantías (Art.4 Calidad Datos). •Vulnerar el deber de Secreto. •El impedimento o la obstaculización al ejercicio de derechos ARCO •El incumplimiento del deber de informar si o han sido recabados del interesado •El incumplimiento de los restantes deberes de notificación o requerimiento.
• Mantener ficheros locales programas o equipos sin las debidas condiciones de seguridad. • No atender apercibimientos de la AEPD o no proporcionar documentos solicitados. • La obstrucción al ejercicio de la función inspectora. • La comunicación o cesión sin legitimación.
Faltas MUY Graves (Sanciones entre 300.507€ y 601.012€ ) 300.001€ y 600.000€) •La recogida de datos en forma engañosa. •Tratar o ceder datos especialmente protegidos. •No cesar en el uso ilegitimo de los datos tras ser requeridos. •La transferencia internacional países no seguros sin autorización AEPD
Curso Resumen LOPD/LSSI Nueva Graduación de las sanciones – Modificación LOPD 5/3/11 (Artículo 45) La cuantía de las sanciones, se graduaran atendiendo a los criterios:
• El carácter continuado de la infracción. • El Volumen de tratamientos efectuados. • La vinculación de la actividad con la realización de tratamientos de datos. • El volumen del negocio o actividad del infractor. • Los beneficios obtenidos. • El grado de intencionalidad. • La reincidencia • La naturaleza de los perjuicios causados a las personas. • La acreditación de que con anterioridad a los hechos, se tenían implantados procedimientos adecuados.
Curso Resumen LOPD/LSSI
4- Responsabilidad LOPD - Ley Org谩nica de Protecci贸n de Datos
lopd@sertec.com.es
Responsabilidad
Curso Resumen LOPD/LSSI
Entendiendo y Cumpliendo la LOPD La mejor forma de comprender todo lo relativo a la LOPD es usar la propia ley, como documento de referencia. Para que no resulte tan complicado, vamos a realizar un repaso previo por los distintos principios y conceptos básicos que componen la LOPD. Los principios de la protección de datos de carácter personal podemos encontrarlos en el Titulo II de la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal:
Artíc. 4. Calidad de los datos Artíc. 5. Derecho de información en la recogida de los datos Artíc. 6. Consentimiento del afectado Artíc. 7. Datos especialmente protegidos Artíc. 8. Datos relativos a la salud Artíc. 9. Seguridad de los datos Artíc.10. Deber de secreto Artíc.11. Comunicación de los datos Artíc.12. Acceso a los datos por cuenta de terceros
Responsabilidad
Curso Resumen LOPD/LSSI
Recogida de datos de carácter personal Art. 4 - Calidad de los datos • Los datos deben de ser adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades determinadas y legítimas para las que se hayan obtenido.
Art. 5 – Derecho de información • Los interesados, deben ser informados de modo expreso, inequívoco y preciso
Art. 6 - Consentimiento del afectado • Se debe obtener el consentimiento inequívoco del afectado, salvo Ley en contra. • El consentimiento debe ser Libre, Específico, Informado e Inequívoco
Responsabilidad
Curso Resumen LOPD/LSSI
Tratamiento de datos de carácter personal Art. 7 – Datos Especialmente protegidos •
Los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, asociaciones, fundaciones y otras entidades sin ánimo de lucro.
Art. 8 – Datos Relativos a la “salud” •
Sólo las instituciones y centros sanitarios y los profesionales correspondientes, podrán proceder al tratamiento de esos datos.
Art. 9 - Seguridad de los datos •
No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones de integridad y seguridad.
Responsabilidad
Curso Resumen LOPD/LSSI
Tratamiento de datos de carácter personal Art. 10 - Deber de Secreto (Responsable y Encargado tratamiento) • Secreto profesional respecto a los datos incluidos y prohibición de revelar a terceras personas dichos datos aun después de finalizar sus relaciones .
Art. 11 – Comunicación de los Datos Los datos de carácter personal objeto de la comunicación, sólo podrán ser entregados a un tercero para el cumplimiento de fines concretos y específicos. Para poder realizarlo: Se debe obtener
previamente el consentimiento del Afectado. El tratamiento, debe estar regulado en un contrato.
Responsabilidad
Curso Resumen LOPD/LSSI
Tratamiento de datos de carácter personal Art. 12 – Acceso a los datos por cuenta de terceros Es cuando el acceso de un tercero a los datos, es necesario para realizar la prestación de un servicio concreto al responsable del tratamiento. Para poder realizarlo: El Afectado deberá ser previamente
informado. El tratamiento, debe estar regulado en un contrato. En el contrato, se debe establecer expresamente el fin de la utilización de los datos.
Responsabilidad Obligaciones Administradores y Responsables Puesta en Marcha de las Medidas de Seguridad. Mantener actualizado regularmente el Documento de seguridad. Comprobar que se cumplen las medidas t茅cnicas y las organizativas. Gestionar las Incidencias del sistema. Velar por que se cumpla la Pol铆tica y las Medidas de Seguridad. Efectuar controles peri贸dicos de verificaci贸n del cumplimiento. Realizar las auditorias exigidas y tomar las medidas necesarias.
Curso Resumen LOPD/LSSI
Responsabilidad
Curso Resumen LOPD/LSSI
Obligaciones de los Usuarios Salvaguardar y proteger las contraseñas personales. Notificar las incidencias al Responsable de Seguridad/Administrador. Gestionar adecuadamente los soportes asegurándose la destrucción de copias. El cumplimiento de las Políticas y Medidas de Seguridad marcadas por la empresa. Respetar el uso, finalidad y contenido del fichero. Cumplir el deber de secreto sobre los datos. Garantizar el acceso a los derechos de los ficheros, informando de cualquier ejercicio solicitado.
Responsabilidad
Curso Resumen LOPD/LSSI
Niveles de Seguridad y Medidas a adoptar LOPD Art. 9 – Seguridad de los Datos. Especifica que el Responsable del Fichero y el Encargado del Tratamiento, deben adoptar las medidas que garanticen la seguridad de los datos. El Reglamento RLOPD, especifica el conjunto de medidas que podemos clasificar en: Según sea el tipo de fichero de datos que debemos proteger
automatizados •Capítulo IV. Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados •Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos
Según sea el tipo de datos contenidos en los ficheros tenemos una sub-clasificación común para ambos, dependiendo del tipo de datos: •Capítulo III y IV. Sección Primera. Medidas de seguridad de nivel básico. •Capítulo III y IV. Sección Segunda. Medidas de seguridad de nivel medio. •Capítulo III y IV. Sección Tercera. Medidas de seguridad de nivel alto.
Curso Resumen LOPD/LSSI
Responsabilidad Niveles de Seguridad y Medidas a adoptar
MEDIDAS DE SEGURIDAD NIVEL BÁSICO (datos de nivel Básico) Artíc. RLOPD
Ficheros Automatizados
Artíc. RLOPD
Capítulo III – Sección Primera
Ficheros NO automatizados Capítulo IV – Sección Primera
89
Funciones y obligaciones del personal
105
Obligaciones comunes
90
Registro de incidencias
106
Criterios de archivo
91
Control de accesos
107
Dispositivos de almacenamiento
92
Gestión de soportes
108
Custodia de soportes
93
Identificación y autentificación
94
Copias de respaldo y recuperación
Curso Resumen LOPD/LSSI
Responsabilidad Niveles de Seguridad y Medidas a adoptar
MEDIDAS DE SEGURIDAD NIVEL MEDIO (datos de nivel Medio) Artíc. RLOPD
89-94
Ficheros Automatizados Medidas de nivel básico
Artíc. RLOPD
105-108
Capítulo III – Sección Segunda
Ficheros NO automatizados Medidas de nivel básico Capítulo IV – Sección Segunda
95
Designación Responsable Seguridad
109
Responsabilidad de seguridad
96
Auditoría
110
Auditoría
97
Gestión de soportes
98
Identificación y autentificación
99
Control de acceso físico
100
Registro de incidencias
Curso Resumen LOPD/LSSI
Responsabilidad Niveles de Seguridad y Medidas a adoptar MEDIDAS DE SEGURIDAD NIVEL ALTO (datos de nivel Alto) Artíc. RLOPD
Ficheros Automatizados
Artíc. RLOPD
Ficheros NO automatizados
89-94
Medidas de nivel básico
105-108
Medidas de nivel básico
95-100
Medidas de nivel medio
109-100
Medidas de nivel medio Capítulo IV – Sección Segunda
Capítulo III – Sección Primera 101
Gestión y distribución de soportes
111
Almacenamiento de la información
102
Medidas adic. copias de respaldo
112
Copia o reproducción
103
Registro de accesos
113
Acceso a la documentación
104
Telecomunicaciones
114
Traslado de documentación
Curso Resumen LOPD/LSSI
5- AEPD Agencia Espa帽ola Protecci贸n de Datos
lopd@sertec.com.es
AEPD
Curso Resumen LOPD/LSSI
Notificación e inscripción registral: •
El responsable del fichero, debe de realizar la inscripción de cualquier fichero en la Agencia Española de Protección de Datos (AEPD) con anterioridad a la realización de cualquier tipo de recogida y tratamiento de datos.
•
La NOTIFICACION de los ficheros tiene como objeto principal asegurar la publicidad de las características y finalidades de los tratamientos de datos
•
Se deberá notificar a la AEPD cualquier modificación o baja que se produzca.
Nota: La inscripción del fichero, no prejuzga que se haya cumplido con el resto de obligaciones en materia de tratamiento de datos.
AEPD
Curso Resumen LOPD/LSSI
Documento de Seguridad (Artículo 88) •
El artículo 9 de la LOPD establece que "el responsable del fichero”, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
•
El RLOPD en su Título VIII, establece las medidas que los responsables de los tratamientos o los ficheros han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.
•
Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.
AEPD
Curso Resumen LOPD/LSSI
Documento de Seguridad: Contenido (Art. 88)
Es un documento interno de la organización, que debe mantenerse siempre actualizado.
Disponer del documento de seguridad es una obligación para los responsables de ficheros y los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.
A partir del nivel medio de medidas de seguridad, además de los apartados anteriores, debe contener los siguientes: • identificación del responsable de seguridad; • control periódico del cumplimiento del documento.
AEPD Informaci贸n en:
www.agpd.es
Curso Resumen LOPD/LSSI
Curso Resumen LOPD/LSSI
6- LSSI-CE Ley 34/2002 de Servicios de la Sociedad de la Informaci贸n y el Comercio Electr贸nico
lopd@sertec.com.es
LSSI-CE
Curso Resumen LOPD/LSSI
La LSSI-CE 34/2002 es una Ley que se aplica al comercio electrónico y a otros servicios de Internet cuando sean parte de una actividad económica o cuando se hacen comunicaciones comerciales o publicidad por vía electrónica. Obligaciones de información (Artículo 10): Debe mostrase en la página web: • • •
Denominación social, NIF, domicilio, y dirección de correo electrónico, teléfono o fax. Los datos de inscripción registral. Precios de productos con indicación de impuestos y gastos de envío.
Obligaciones previas a la contratación (Artículo 27): Si además hacen contratos online, debe añadirse la siguiente información con carácter previo: • • • • •
Trámites que deben seguirse para la contratación. Si el documento electrónico se va a archivar y si será accesible. Medios Técnicos para corregir errores en la introducción de datos. Lengua o lenguas en que podrá formalizar el contrato. Condiciones generales del contrato.
LSSI-CE
Curso Resumen LOPD/LSSI
Comunicaciones comerciales por vía electrónica Régimen Jurídico (Artículo 19): •
Además de lo establecido en la propia Ley y su normativa propia, y la vigente en materia comercial y de publicidad, le será aplicable la LOPD 15/1999, y su normativa de desarrollo, en especial en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros.
Información exigida (Artículo 20) • •
El Anunciante o emisor de comunicaciones comerciales, debe identificarse claramente. El carácter publicitario del mensaje, debe ser inequívoco (PUBLICIDAD).
Prohibición de comunicaciones comerciales (Artículo 21) • •
Para enviar correos electrónicos o SMS, debe obtenerse previamente la solicitud o autorización expresa. De tenerla, se deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales de un modo sencillo y gratuito.
Derechos de los destinatarios (Artículo 22) • •
Podrá revocar el consentimiento prestado. Se deberán habilitar procedimientos sencillos para ejercerlo.
LSSI-CE
Curso Resumen LOPD/LSSI
Infracciones y sanciones LSSI - Artículos 38 y 39 Infracciones Leves (Sanciones hasta 30.000€) • El Incumplimiento de obligaciones de información sobre seguridad (Art. 12bis). • No informar en la forma prescrita en el Artículo 10 – Obligaciones de información. • Incumplir lo establecido en los Artículos: 20 – Información exigida, y 21 – Prohibición comunicaciones comerciales
Infracciones Graves (Sanciones entre 30.001€ y 150.000€) • El incumplimiento significativo de los párrafos a) y f ) del Artículo 10 (Identificación empresa, y precios e impuestos). • El envío masivo de comunicaciones comerciales sin cumplir los requisitos del Artículo 21. • El incumplimiento significativo del Artículo 22- Derechos de los destinatarios. •.El no poner a disposición las condiciones generales y el incumplimiento de confirmar la recepción (Artículo 27).
Infracciones MUY Graves (Sanciones entre 150.001€ y 600.000€) •El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de otro servicio equivalente, cuando un órgano competente lo ordene, en virtud del Artículo 11 – Deber de colaboración.
LSSI-CE Informaci贸n en:
www.lssi.es
Curso Resumen LOPD/LSSI
Curso Resumen LOPD/LSSI
FASES DE UN PROYECTO DE ADECUACION LOPD – LSSI
FASES del PROYECTO
Curso Resumen LOPD/LSSI
Adecuación de una empresa Fase 1
Fase 2
Fase 3
Fase 4
Definición y Localización
Legitimación de Datos
Políticas de Seguridad
Seguimiento y Mantenimiento por parte del Resp. Seguridad
Identificación de ficheros
Recogida de Información
Documento de Seguridad Vigilancia en el cumplimiento
Definición Resp. Seguridad Notificación APD
Consentimiento del afectado
Terceros Rev. Derechos: AR C O
Cumplir Deber de información Actualizaciones Doc. Seguridad
Rev. Contratos Clientes, Proveed.
Códigos Registro de ficheros APD
Formación Resp. seguridad
Implantación de Medidas Seguridad Nivel Básico Nivel Medio Nivel Alto
AEPD: Nuevas Instrucciones Auditoria bienal Formación del personal
Curso Resumen LOPD/LSSI
Fin Curso Resumen LOPD/LSSI-CE
Jesús Fernández Abad Junio 2011