1 / 55

La Protección de Datos de Carácter Personal (LOPD) Ley Orgánica 15/1999, de 13 de diciembre

La Protección de Datos de Carácter Personal (LOPD) Ley Orgánica 15/1999, de 13 de diciembre. Manual de Formación. Feb-2009. Contenido. Normativa aplicable Objeto y ámbito de aplicación Conceptos básicos Principios y obligaciones de la protección de datos Derechos de los interesados

Download Presentation

La Protección de Datos de Carácter Personal (LOPD) Ley Orgánica 15/1999, de 13 de diciembre

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. La Protección de Datos de Carácter Personal (LOPD) Ley Orgánica 15/1999, de 13 de diciembre Manual de Formación Feb-2009

  2. Contenido • Normativa aplicable • Objeto y ámbito de aplicación • Conceptos básicos • Principios y obligaciones de la protección de datos • Derechos de los interesados • La protección de datos en COELCA • Ficheros existentes • Documento de Seguridad. • Obligaciones Generales del Personal • Responsables de Seguridad • Documentación a disposición del personal en materia de seguridad

  3. 1. Normativa Aplicable Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

  4. Normativa aplicable • Normativa de carácter básico • Constitución Española • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal • Instrucción 1/2006, de 8 de noviembre, de la Agencia de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras • Instrucción 1/1998, de la Agencia de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación en ficheros automatizados Instrucción 1/1996, de la Agencia de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a edificios • Otras

  5. 2. Objeto y Ámbito de aplicación Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

  6. 2. Objeto y ámbito de aplicación • Objeto: “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar” • Ámbito de aplicación “... datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”

  7. 3. Conceptos Básicos Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

  8. 3. Conceptos básicos (I) • Datos de carácter personal:cualquier información concerniente a una persona física identificada o identificable. • Será identificable cuando su identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, economía, cultural o social. No se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. • Por tanto es un dato personal el nombre, los apellidos, el DNI, la dirección (postal, electrónica), la fecha y lugar de nacimiento, los datos de filiación (nombre de los padres), datos bancarios, alergias, minusvalías, profesión, etc. • Afectado o interesado:persona física titular de los datos que sean objeto de tratamiento. • El “dueño” de los datos siempre es la persona física titular de las mismas, no la empresa o trabajador que los ha recopilado. • Fichero:todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de creación, almacenamiento, organización y acceso. • No tiene por qué corresponderse con el fichero informático, lógico o físico. Es un fichero jurídico. • Tratamiento de datos:operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

  9. 3. Conceptos básicos (II) • Responsable del fichero o tratamiento:persona física o jurídica, pública o privada, u órgano admtvo., que decide sobre la finalidad, contenido y uso del tratamiento. • Encargado de tratamiento:persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del fichero. • El ejemplo típico de encargado de tratamiento es la gestoría laboral a la que la empresa encarga la confección de las nóminas de sus empleados. • Consentimiento del interesado:toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. • Cesión o comunicación de datos:toda revelación de datos realizada a una persona distinta del interesado. • Basta con que dejemos ver el dato a un tercero para que sea una cesión de datos.

  10. 3. Conceptos básicos (III) • Cancelación: procedimiento en virtud del cual el responsable cesa en el uso de los datos. Implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos. • Por ejemplo, los datos de facturación, deben conservarse 4 años por motivos fiscales. • Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. • Agencia Española de Protección de Datos: ente de derecho público, adscrito al Ministerio de Justicia pero que actúa con plena independencia de las Administraciones Públicas, encargado de velar por el cumplimiento y aplicación de la normativa de protección de datos. Dispone de un Registro General en el que se inscriben todos los ficheros tanto de titularidad pública como privada.

  11. 3. Conceptos básicos (IV) • Niveles de seguridad existentes: la clasificación de los niveles se realiza en función de la naturaleza de la información tratada, de la finalidad del tratamiento de los datos y de quién sea el responsable del fichero. Datos Personales (art.81) Nivel de Seguridad - Todos los ficheros con datos de carácter personal - Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, cuando: • Se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros • Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan estos datos sin guardar relación con su finalidad - Datos de salud referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. Básico

  12. 3. Conceptos básicos (V) • Niveles de seguridad Datos Personales (art.81) Nivel de Seguridad -Infracciones administrativas o penales • Ficheros de prestación de servicios de información sobre solvencia patrimonial y crédito • Los que sean responsabilidad de las Admons. Tributarias y se relacionen con el ejercicio de sus potestades tributarias • Los que sean responsabilidad de las entidades financieras para la prestación de los servicios financieros • Los que sean responsabilidad de las Entidades Gestoras y Servicios Comunes de la Seguridad Social relacionadas con el ejercicio de sus funciones; los que sean responsabilidad de las mutuas de accidentes de trabajo y enfermedades profesionales de la SS. • Los que contengan un conjunto de datos que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Medio

  13. Datos Personales (art.81) Nivel de Seguridad -Ideología-Religión o creencias-Afiliación sindical-Origen racial-Salud-Vida sexual-Ficheros policiales con datos recabados sin consentimiento de los interesados • Datos derivados de actos de violencia de género Alto 3. Conceptos básicos (VI) • Niveles de seguridad * A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 RDLOPD.

  14. 3. Conceptos básicos (VII) • Infracciones y Sanciones: el incumplimiento de las disposiciones legales en materia de protección de datos está sancionado. Los responsables de los ficheros y los encargados de los tratamientos están sujetos al régimen sancionador establecido en la LOPD. En el siguiente cuadro vemos algunos ejemplos de infracciones con la sanción que tienen asignada: Sanciones:

  15. 4. Principios de la Protección de Datos Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

  16. 4. Principios y obligaciones de la protección de datos • CALIDAD DE LOS DATOS (art.4) • INFORMACIÓN EN LA RECOGIDA DE DATOS (art. 5) • CONSENTIMIENTO DEL AFECTADO (art. 6) • DATOS ESPECIALMENTE PROTEGIDOS (art. 7) • CESIÓN DE DATOS (art. 11) • ACCESO A DATOS POR TERCEROS (art. 12) • INSCRIPCIÓN DE LOS FICHEROS (art. 20) • DEBER DE SECRETO (art. 10) • SEGURIDAD DE LOS DATOS (art. 9)

  17. 4. Principios de la protección de datos (I) • CALIDAD DE LOS DATOS (art.4): sólo se podrán recoger y someter a tratamiento aquellos datos que sean • Adecuados, Pertinentes y No excesivos, • En relación con el ámbito y las finalidades para las que se hayan obtenido que han de ser • Determinadas • Explícitas y • Legítimas (Principio de Finalidad) • Los datos serán exactos y puestos al día, y deben responder con veracidad a la situación actual del afectado. Si los datos se recogen directamente del afectado se considerarán exactos los que facilite. • Si los datos resultaran ser inexactos o incompletos se cancelarán y sustituirán de oficio en el plazo de 10 días desde que se tiene conocimiento de la inexactitud. En caso de que se hubieran cedido a terceros se les notificará la rectificación o cancelación efectuada en el mismo plazo para que haga lo propio en el mismo plazo. No requiere que se informe de todo ello al interesado. (sin perjuicio del ejercicio del derecho de rectificación o cancelación por el interesado) • Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad con la que se recogieron.

  18. 4. Principios de la protección de datos (II) • Veamos la aplicación práctica de este principio de calidad-finalidad • En las cláusulas o textos utilizados para informar y obtener el consentimiento, no se podrán utilizar expresiones ambiguas, indeterminadas o imprecisas. P.e no se considera suficiente la expresión “información comercial”, “información sobre nuestros productos y servicios”, “fines publicitarios o comerciales”, “publicidad”,, etc. • <<“De su literalidad no se aprecia que exista información sobre finalidades determinadas y explícitas a las que se vinculará el tratamiento de los datos pues se limita a indicar el término finalidad “comercial”, que por su extraordinaria amplitud, según el Diccionario de la Lengua “perteneciente al comercio y a los comerciantes,”no explicita con una determinación suficiente la información que previamente debe ser conocida por los clientes, (pese a referirse “al envío de ofertas de sus productos y servicios”), pues los términos productos y servicios son también muy genéricos de los que no puede deducirse que Pelayo, informe a dichos clientes de cuáles son los productos y servicios concretos y específicos ofertados. La citada Sentencia de la Audiencia Nacional, de 13 de abril de 2005, efectúa una consideración en relación con la expresión “publicidad comercial”, señalando que “.. a los efectos de considerar válido el consentimiento obtenido para la cesión de datos no puede ser equiparada al fin explícito y determinado que requiere el artículo 5.1 de la Ley 15/1999...” >> • No se deben conservar los currículos de manera indefinida porque se corre el riesgo de que los datos estén desactualizados. Lo más correcto es eliminarlos transcurrido un determinado plazo (un año o dos) desde su recepción, salvo que el interesado lo haya actualizado en ese tiempo. • No se pueden conservar los datos de manera indefinida en los sistemas o archivos, si dejan de ser necesarios han de ser cancelados. Cuando un trabajador, cliente o proveedor termina su relación con nuestra empresa, sus datos dejan de ser necesarios por lo que habrá que cancelarlos. Ahora bien, antes de cancelarlos se comprobará si existe alguna obligación legal de conservación de esos datos: • Si no existe obligación legal de conservación, los datos se eliminarán definitiva y totalmente. Sólo podrían mantenerse disociados o con consentimiento expreso del interesado. • Si existe obligación legal de conservarlos, se conservarán bloqueados durante el plazo legalmente establecido y a disposición únicamente de las administraciones, jueces y tribunales. P.e. normativa fiscal, laboral, social, mercantil, etc.

  19. 4. Principios de la protección de datos (III) • INFORMACIÓN EN LA RECOGIDA DE DATOS (art. 5): con carácter general en la recogida de datos, los interesados deberán ser informados: • Previamente • De modo expreso, preciso e inequívoco de: • La existencia de un fichero o tratamiento, de la finalidad de la recogida y de los destinatarios de la información • La obligación o no de responder a las preguntas que les sean planteadas • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación u oposición • De la identidad y dirección del responsable del fichero o de su representante • Deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento. • Veamos la aplicación práctica de este principio de información

  20. 4. Principios de la protección de datos (IV) • Ejms. de aplicación práctica del principio de información • Cuando se utilicen cuestionarios, formularios, impresos, cupones, etc la información sobre el tratamiento de los datos figurará en el propio formulario, impreso, …y se diferenciarán los datos necesarios de aquellos otros que no lo sean, por ejemplo marcando los primeros con un asterisco. • En las cláusulas o textos utilizados para informar y obtener el consentimiento, la información sobre la finalidad se dará utilizando términos claros y concretos, evitando expresiones ambiguas, indeterminadas o imprecisas como hemos visto en la aplicación práctica del principio de calidad-finalidad. • Téngase en cuenta que cuando se establece como dirección del responsable del fichero y para el ejercicio de los derechos un apartado postal, puede resultar problemática la recepción de las solicitudes y el cumplimiento de los plazos. En cualquier caso debe coincidir con la comunicada al Registro General de Protección de Datos. • En los distintos departamentos se dispondrá de los documentos necesarios para cumplir esta obligación de informar.

  21. 4. Principios de la protección de datos (V) • CONSENTIMIENTO DEL AFECTADO (art. 6): el tratamiento de datos requiere: • El consentimiento inequívoco del afectado • Excepciones: cuando la Ley disponga otra cosa, y en los siguientes casos: • Para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias • Cuando se refiera a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento • Cuando el tratamiento tenga por finalidad proteger un interés vital del interesado • Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo del responsable del fichero o del cesionario y no se vulneren los derechos y libertades fundamentales del interesado • Dicho consentimiento tiene carácter revocable.

  22. 4. Principios de la protección de datos (VI) • Ejms. de aplicación práctica del principio de consentimiento de los interesados • En el ámbito laboral no sería por tanto necesario el consentimiento de los trabajadores para el tratamiento de aquellos de sus datos necesarios para el cumplimiento y mantenimiento de la relación laboral (recuerde: sólo los datos necesarios para la relación laboral). Sí sería necesario para el tratamiento de datos no necesarios para esta finalidad así como para el tratamiento de datos especialmente protegidos. • En el ámbito negocial ocurre lo mismo, no es necesario el consentimiento de los “clientes” o proveedores para el tratamiento de aquellos de sus datos necesarios para la gestión de la relación comercial existente (pero recuerde: sólo los datos necesarios para el cumplimiento o mantenimiento de esta relación). • Recuerde que aunque no sea necesario el consentimiento expreso siempre es necesario informar en los términos legalmente establecidos que hemos visto, y el modo de acreditar que se ha facilitado esta información es dejando constancia escrita, de ahí la importancia de incorporar a los contratos laborales, contratos con clientes y proveedores, impresos o facturas, … la información legal. En los distintos departamentos se dispondrá de los documentos necesarios para cumplir esta obligación de informar y obtener consentimiento.

  23. 4. Principios de la protección de datos (VII) • DATOS ESPECIALMENTE PROTEGIDOS (art. 7): son aquellos datos que se refieren a: • Ideología • Afiliación sindical • Religión • Creencias • Origen racial • Salud • Vida sexual • Sólo con el consentimiento expreso y, en su caso, por escrito (ideología, afiliación, religión y creencias) del interesado podrán ser recabados • Queda prohibida la creación de ficheros con la exclusiva finalidad de almacenar estos datos

  24. 4. Principios de la protección de datos (VIII) • Ejms. de aplicación práctica del principio de especial protección de determinados datos • Los trabajadores que comuniquen a la empresa datos de salud (propios o de familiares), tales como minusvalías o discapacidades, deberán hacerlo por escrito, cumplimentando el formulario que se les facilitará a estos efectos en RRHH. Una vez cumplimentados y firmados por los interesados se conservarán en el expediente del trabajador. • En el ámbito laboral los datos de salud se utilizan exclusivamente para el cumplimiento de deberes públicos: retenciones del IRPF, bonificaciones de la Seguridad Social o Servicio Canario de Empleo, gestión de bajas médicas, incapacidad o invalidez laboral, calificación de [apto/no apto/apto con restricciones] a efectos de prevención de riesgos laborales.

  25. 4. Principios de la protección de datos (IX) • CESIÓN DE DATOS (art. 11): es toda revelación de datos realizada a una persona distinta del interesado. • Para poder ceder los datos es necesario el consentimiento previo del interesado y que se realice para cumplir fines legítimos del cedente y del cesionario. Para que el consentimiento sea válido el interesado debe haber sido informado sobre: • La finalidad a que se destinarán los datos que autoriza a ceder, y • El tipo de actividad del destinatario de los datos • Excepciones al consentimiento del interesado: • Que la cesión esté autorizada por una ley • Que el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. • Otras: que se trate de datos obtenidos de fuentes accesibles al público; o que tengan por destinatario a Jueces, fiscales, Tribunal de Cuentas, Defensor del Pueblo, etc; para solucionar una urgencia sanitaria; etc

  26. 4. Principios de la protección de datos (X) • Ejms. de aplicación práctica de la cesión de datos • Las cesiones de los datos de los trabajadores a la Seguridad Social, a Hacienda, al INEM, o de los clientes y proveedores a Hacienda (estatal y autonómica) serían un ejemplo de cesión que no requiere el consentimiento de los interesados porque están previstas en una Ley. • La cesión de los datos de los trabajadores por ejemplo a las entidades bancarias para que se realicen los abonos de las nóminas sería un ejemplo de cesión que no necesita el consentimiento del interesado porque es necesaria para el desarrollo y cumplimiento de la relación laboral. • La comunicación de datos entre empresas del grupo o empresas participadas es una cesión de datos que se somete por tanto a las normas vistas (consentimiento previo e informado salvo que se encuentre en alguna de las excepciones). • Para que la información sobre la cesión de los datos sea válida deberán identificarse claramente las finalidades para las que los datos serán objeto de cesión y los destinatarios de los datos, al menos con referencia a su tipo de actividad (alimenticio, ocio, etc).

  27. 4. Principios de la protección de datos (XI) • ACCESO A DATOS POR TERCEROS O ENCARGO DE TRATAMIENTO (art. 12):estamos ante esta figura cuando un tercero (proveedor) accede a los datos de nuestros ficheros para prestarnos un servicio. El encargado de tratamiento trata los datos personales por cuenta del responsable del fichero o tratamiento. Puede ser un servicio remunerado o no, temporal o indefinido. • Cuando el objeto sea el establecimiento de un nuevo vínculo entre el tercero que accede a los datos y el afectado será una cesión de datos y no un encargo. • El art. 12 de la LOPD establece los requisitos y el contenido que debe tener el contrato que regule la prestación de los servicios: • Que conste por escrito • Que recoja al menos el contenido legalmente establecido (art. 12 LOPD). El encargado de tratamiento: • Sólo tratará los datos conforme a las instrucciones del responsable del fichero • No tratará los datos con fines distintos de los establecidos • No comunicará los datos a terceros ni siquiera para su conservación • Implementará las medidas de seguridad que se estipulen • Devolverá o destruirá los datos una vez terminada la relación, así como cualquier soporte o documento. No podrá conservar nada • Si incumple lo anterior será considerado responsable del tratamiento

  28. 4. Principios de la protección de datos (XII) • Ejms. de aplicación práctica del encargo de tratamiento • El ejemplo típico de encargo de tratamiento es el que sucede con ocasión de la contratación de los servicios de una gestoría laboral. La empresa que contrata a la gestoría es responsable de un fichero de datos personales de sus trabajadores, al cual debe acceder la gestoría para prestarle el servicio de confección de nóminas. La gestoría se convierte así en encargada del tratamiento. También existiría encargo de tratamiento en la contratación de los servicios de empresas auditoras, asesorías laborales o fiscales, empresas de mantenimiento informático, marketing (realización de campañas personales de publicidad, ensobrados, etc), gestión de cobros, etc. • Antes de entablar cualquier relación con un tercero debemos plantearnos si el cumplimiento y desarrollo de los trabajos a contratar van a suponer acceso por parte de la otra parte a datos personales que son responsabilidad de nuestra empresa o no (o a la inversa, si puede implicar acceso por parte de nuestra empresa a datos que son responsabilidad de la otra parte). En tal caso, sería necesario incorporar al contrato el contenido antes visto del artículo 12 de la LOPD y comunicarlo al Responsable de Seguridad de nuestra empresa.

  29. 4. Principios de la protección de datos (XIII) • INSCRIPCIÓN DEL FICHERO (art. 25):podrán crearse ficheros cuando • resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular del mismo • Se respeten las garantías que la LOPD establece para la protección de las personas • Se notifique previamente a la AEPD para su inscripción en el RGPD, la siguiente información mínima: • Responsable del fichero • Finalidad del fichero • Ubicación • Tipos de datos que contiene • Nivel de seguridad • Cesiones de datos y las transferencias de datos a terceros países que se prevean

  30. 4. Principios de la protección de datos (XIV) • DEBER DE SECRETO (art. 10): el deber de secreto supone que: • El responsable del tratamientoy • Quienes intervengan en cualquier fase del tratamiento de los datos • Están obligados a: • Mantener el secreto profesional • Observar el deber de guardar losdatos objeto del tratamiento • Incluso una vez finalizada la relación con el titular del fichero

  31. 4. Principios de la protección de datos (XV) • MEDIDAS DE SEGURIDAD (art. 9): el responsable del fichero y, en su caso, el encargado del tratamiento: • Adoptarán las medidas de seguridad necesarias • Medidas de índole técnica y organizativa • Que garanticen la seguridad de los datos de carácter personal • Medidas que eviten la alteración, pérdida, tratamiento o acceso no autorizado • Medidas adoptadas en atención al estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos (humanos, físicos o naturales)

  32. 5. Derechos de los Interesados Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

  33. 5. Derechos de los interesados • ACCESO AL REGISTRO DE LA AEPD (art. 14) • DERECHO A INDEMNIZACIÓN (art. 19) • DERECHO DE ACCESO (art. 15) • DERECHO DE RECTIFICACIÓN Y CANCELACIÓN (art. 16) • IMPUGNACIÓN DE VALORACIONES (art. 13) • DERECHO DE OPOSICION (art. 6.4)

  34. 5. Derechos de los interesados (I) • ACCESO AL REGISTRO DE LA AEPD (art. 14): mediante el ejercicio de este derecho: • Cualquier persona podrá recabar información • ante el Registro General de Protección de Datos (RGPD) • sobre: • La existencia de tratamientos de datos • Sus finalidades y • La identidad del responsable del tratamiento • De forma gratuita (www.agpd.es) • INDEMNIZACIÓN (art. 19): los interesados que sufran daño o lesión en sus bienes o derechos por el incumplimiento del responsable del fichero o del encargado de tratamiento de la normativa de protección de datos, tienen derecho a ser indemnizados. • En los ficheros de titularidad privada (los de las empresas), la acción se ejercitará ante los órganos de la jurisdicción ordinaria. • En los ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.

  35. 5. Derechos de los interesados (II) • DERECHO DE ACCESO (art. 15): consiste en la facultad del interesado para: • Solicitar y obtener información sobre: • Si sus propios datos están siendo objeto de tratamiento • La finalidad del tratamiento que se esté realizando • El origen de sus datos, y • Las comunicaciones realizadas o que se prevea realizar • De forma gratuita • Ejercitándose a intervalos no inferiores a 12 meses, salvo que se acredite un interés legítimo • La solicitud deberá resolverse en el plazo máximo de un mes desde la recepción; y el acceso se hará efectivo durante los 10 días hábiles siguientes. • DERECHO DE RECTIFICACIÓN Y CANCELACIÓN (art. 16): supone la facultad del interesado de: • Instar al responsable del fichero a: • Rectificar, modificar datos inexactos o incompletos • o cancelar, suprimir datos inadecuados o excesivos • La solicitud deberá resolverse en el plazo máximo de 10 días hábiles desde la recepción.

  36. 5. Derechos de los interesados (III) • IMPUGNACIÓN DE VALORACIONES (art. 13): el derecho de impugnación de valoraciones consiste en: • Una facultad del interesado • de no verse sometido a una decisión con efectos jurídicos • que le afecte de manera significativa • efectuada sobre la base únicamente de un tratamiento de datos • destinado a evaluar determinados aspectos de su personalidad • DERECHO DE OPOSICIÓN (art. 6.4): consiste en la facultad del interesado para: • Oponerse al tratamiento de sus datos, a que no se lleve a cabo dicho tratamiento o a que se cese en el mismo: • cuando no sea necesario su consentimiento para el tratamiento por existir motivos fundados y legítimos para ello, referido a su concreta situación personal • cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad o prospección comercial • cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos • La solicitud deberá resolverse en el plazo máximo de 10 días hábiles desde la recepción de la solicitud

  37. 5. Derechos de los interesados (IV) • CARACTERÍSTICAS DE LOS DERECHOS: los derechos analizados se caracterizan por ser: • Personalísimos (aunque cabe representación legal en caso de incapacidad, minoría de edad) • Son derecho independientes • EJERCICIO DE LOS DERECHOS: los derechos conferidos a los interesados: • Serán ejercidos ante el responsable del fichero • Mediante solicitud dirigida al mismo con el contenido legalmente determinado (identificación, copia DNI, petición que formula, domicilio a efectos de notificación, fecha y firma, y, en su caso, documento acreditativo de la solicitud). • El ejercicio de uno no es requisito previo para el ejercicio de otro

  38. 5. Derechos de los interesados (V): esquema de procedimiento del derecho de acceso

  39. 5. Derechos de los interesados (VI):esquema procedimiento de los derechos de rectificación y cancelación

  40. 5. Derechos de los interesados (VII):esquema procedimiento de los derechos de oposición

  41. 5. Lo que todos debemos saber sobre el procedimiento de Atención de los Derechos en COELCA • Circular General para el personal sobre el ejercicio de los derechos –Instrucciones generales- Todas las empresas usan datos personales de sus proveedores, de clientes, de las personas interesadas en trabajar en ellas que entregan su curriculum, de sus propios trabajadores, etc, para desarrollar su actividad, tales como nombre, dirección, teléfono, profesión,.….. Para proteger estos datos personales existe una ley, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (conocida como LOPD). Una de las formas que tiene esta ley de proteger los datos es reconociendo ciertos derechos a esas personas titulares de los datos: • el derecho de acceso, que consiste en conocer qué datos tiene COELCA de esa persona • el derecho de rectificación, que permite corregir o modificar los datos que no son exactos o completos • el derecho de cancelación, que permite solicitar que se eliminen los datos • el derecho de oposición, que permite solicitar que se dejen de tratar los datos Para ejercitar estos derechos existen unos requisitos, formas y plazos muy estrictos establecidos por la propia Ley, por lo que COELCA ha decidido que sea un solo departamento, el de Recursos Humanos, el que se encargue de atender este tipo de solicitudes. Por ello, cuando alguien (proveedores, clientes, personas interesadas en trabajar aquí, etc) solicite cualquier información sobre estos derechos se le indicará que debe dirigirse por escrito a la siguiente dirección: COELCA……. DPTO. …….. Ref. ............. CL ………., núm. .... CP ……. de ……………………. Ante cualquier duda o problema contacta inmediatamente con Recursos Humanos en el teléfono ….…………………..…. Asimismo contacta telefónicamente con Recursos Humanos si la persona te plantea alguna dificultad para dirigirse a la dirección indicada.

  42. 6. La protección de datos en COELCA

  43. Ficheros de COELCA • Ficheros responsabilidad de COELCA: • Ficheros tratados por COELCA por cuenta de terceros: • Ficheros de INSTALADORA QUINTANA • La estructura, accesos, y características de cada uno de estos ficheros, así como las medidas de seguridad a adoptar para su protección, se definen en el Documento de Seguridad.

  44. Documento de Seguridad • El documento de seguridades el documento en el que el responsable del fichero (COELCA) elabora e implanta la normativa de seguridad de obligado cumplimiento para todo el personal con acceso a datos personales y a los sistemas de información • El documento de seguridad • debe mantenerse siempre actualizado (con la ayuda de todos!) • El contenido mínimo del documento de seguridad viene determinado por la Ley, es muy amplio, e incluye, entre otros: • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento de Medidas de Seguridad • Funciones y obligaciones del personal

  45. Obligaciones Generales del Personal (I) • Conocer las normas de seguridad que afecten al desarrollo de sus funciones. • Secreto profesional respecto de los datos que conozca tanto de la empresa como de sus clientes o usuarios, proveedores, personal, etc, y deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con la empresa. • Custodiar los soportes o documentos. Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento (armarios, archivos, etc), por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

  46. Obligaciones Generales del Personal (II) • Garantizar que la información que tratan no está visible ni accesible a personas no autorizadas, mediante la adopción de las siguientes medidas de seguridad: • Orientar las pantallas de visualización de datos de modo que no sea visible la información a terceros no autorizados o personas en tránsito. • Activar los protectores de pantalla al ausentarse del puesto de trabajo (durante la jornada) o cerrar las sesiones. • Asegurarse de que no quedan documentos en la bandeja de salida de la impresora o fax. • Retirar los documentos de la impresora conforme van saliendo. • No dejar documentación con datos personales sobre la mesa al abandonar el puesto de trabajo de forma que quede accesible para terceros. Todo debe quedar guardado bajo llave en cajones o armarios. • Guardar la documentación que no se esté usando en armarios o cajones que dispongan de cerradura (y cerrar con llave!)

  47. Obligaciones Generales del Personal (III) • No reutilizar los documentos en los que consten datos personales (papel para reciclar, papel en sucio, etc). • Eliminar la documentación que ya no sea necesaria mediante su completa destrucción (destructora de papel o métodos seguros similares). • Mantener la confidencialidad de sus contraseñas, no comunicándola ni siquiera a compañeros o superiores. En caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas lo comunicará inmediatamente al responsable de seguridad. • No compartir la contraseña con nadie. • No revelar a nadie ni siquiera las contraseñas que ya no estén vigentes (las que haya usado en alguna ocasión anterior). • No crear las contraseñas con el nombre de usuario ni siguiendo una regla que sea fácil de averiguar por terceros (NIF, matrícula del coche, número de empleado, nombre de hijos o pareja, mes-año, etc). • No permitir que nadie entre en los sistemas usando su contraseña, ni siquiera estando presente.

  48. Obligaciones Generales del Personal (IV) • Comunicar cualquier incidencia de la que tenga conocimiento al responsable de seguridad. No hacerlo es falta contra la seguridad de los sistemas. • No generar soportes informáticos (disquetes, CD, DVD, pendrives, discos externos, etc) con datos personales sin autorización expresa. Todos los soportes y documentos que contengan datos personales deben ser identificados e inventariados (a menos que sea imposible por las características físicas del soporte). La identificación del soporte será codificada cuando contenga datos de nivel alto para que no sea evidente identificar el contenido a terceros. • No realizar copias ni fotocopias innecesarias y sin autorización. Los datos de nivel alto sólo pueden ser reproducidos por o bajo control del personal autorizado. • Archivar según los criterios de archivo de documentos establecido y comunicado por cada área a Informática para su inclusión en el Documento de Seguridad. • No sacar ningún documento o soporte con datos personales o información confidencial sin autorización previa.

  49. Obligaciones Generales del Personal (V) • Cuando se autorice el traslado de documentos o soportes informáticos se adoptarán las medidas necesarias para evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. En el caso de la documentación se utilizarán sobre cerrados, carpetas cerradas no transparentes, maletines, etiquetas de confidencialidad en las solapas de cierre, etc. • Eliminar los ficheros temporales (copias de ficheros realizadas para cumplir un fin determinado y limitado en el tiempo) y copias de documentos cuando dejen de ser necesarios. • No conectarse a redes o sistemas exteriores de los puestos de trabajo sin autorización; ni facilitar que terceros se conecten a los de la empresa. • No cambiar la configuración de las aplicaciones y sistemas operativos a los que tiene acceso. • No descargar o instalar aplicaciones o programas sin autorización previa del responsable de seguridad. • Usar las herramientas (mail e internet) facilitadas exclusivamente para el desarrollo de las funciones encomendadas. Todas las herramientas están destinadas a un uso profesional.

  50. Obligaciones Generales del Personal (VI) • No descargar aplicaciones, páginas web o contenidos ilegales, ilícitos o inmorales. • No enviar correos electrónicos a personas que no lo han solicitado o no lo desean; no participar en cadenas ni enviar mensajes de forma masiva. • Sólo el personal autorizado puede enviar correos electrónicos con datos personales, estando autorizado el personal facultado para tratar los datos en cuestión y cuando sea absolutamente necesario para el desarrollo de las funciones asignadas. Para enviar/recibir correos electrónicos con datos de nivel alto se precisa autorización expresa (además del cifrado del correo y la constancia en el registro de entrada y salida de soportes). • Los sistemas de información, internet y el correo electrónico son herramientas de trabajo para el desempeño de sus funciones, estando prohibida la realización de actividades que puedan afectar a su seguridad, a la confidencialidad y protección de los datos personales, o a los derechos de propiedad intelectual.

More Related