Buenos días. Hoy me gustaría dedicar un post a la adaptación y el cumplimineto de la le ley orgánica de protección de datos a través de una estupenda ponencia celebrada en septiembre de 2014 en la Fundación Dédalo.
La ponencia la ha impartido Ana Sayas de la empresa Navadat con dirección Pº de Anelier 9 – 1º C. 31014 Pamplona (Navarra).
Empiezo pues con lo que allí he podido escuchar y del conocimiento que he adquirido:
Los datos pueden ser de diversos tipos:
-De caracter personal.
-Identificados o identificables.
-Registrados en soporte físico o digital.
-Que permitan su tratamiento.
Las obligaciones pueden ser de varios tipos:
-Jurídico.
-Técnico.
-Organizativo.
Tratamiento de de datos jurídicos:
-Notificación de ficheros y registro en la Agencia Nacional de Protección de Datos.
-Obligación de información a los titulares.
-Cumplimiento del principio de calidad.
-Obligación de regualr los accesos por terceros.
-Cumplimiento del principio de cesión de datos.
-Obligación del deber de secreto tanto para datos voluntarios como obligatorios.
-Tratamiento de datos especialmente protegidos.
Tratamiento de datos organizativos:
– Datos de clientes, empleados; grabaciones de teléfono, datos verbales, e mails … así como sus derechos y obligaciones.
-En el caso de catálogos de productos se deben de añadir claúsulas que hagan referencia a estos temas.
-Debemos de plantearnos si estos datos son de verdad necesarios; en caso conatrario, han de ser eliminados. Si son necesarios, sólamente se pueden utilizar para el fin establecido.
-Los datos que están fuera de la relación laboral, precisan de un consentimiento expreso; por ejemplo, una base de datos para ir a una casa rural todos los empleados.
-Cuando ya no son necesarios los datos, se eliminan.
-Las fotografías del empleado en su puesto de trabajo necesitan doble consentimiento: 1º para sacar la foto y 2º para publicarla (web de empresa, revistas, redes sociales, etc).
-En le caso de servicios contratados con empresas externas los datos deben de estar regulados en un contrato. La empresa tiene que guardar confidencialidad de los datos así como la devolución de todos los datos de los ficheros cedidos cuando se extinga la relación.
-La cesión de datos no necesita consentimiento expreso tan sólo en el caso de las administraciones públicas: datos enviados al gobierno autonómico al contratar a una persona …
Tratamiento de casos particulares:
-Compra Venta: no es necesario pedir consentimiento expreso de los datos para formalizar el contrato.
-Grabaciones de imágenes por orden de jueces/magistrados: no se necesita consentimiento.
-Deber del secreto: siempre confidencialidad.
-Datos especialmente protegidos: ideología, salud, creencias, afilifación sindical … En estos casos, es obligatorio el consentimiento expreso y a veces, por escrito.
A continuación pasamos a hablar de las medidas a tomar y pueden ser de dos tipos:
-Tipo organizativo.
-Tipo técnico.
Medidas de tipo organizativo:
Son medidas que dependen del nivel de seguridad:
-Nivel básico: nº de c/cte, datos personales, dni …
-Nivel medio: datos de la hacienda pública, mútuas, seguridad social, curriculums, entrevistas … en definitiva los referentes a la personalidad de alguien.
-Nivel alto: salud, ideología, creencias, etc.
Medidas a tomar:
-Elaborar un docuemento de seguridad.
-Establecer un procedieminto de gestión de incidencias.
-Aplicar una política de gestión de soportes.
-Medidas concretas para los documentos de papel.
-Criterios sobre manejo de ficheros temporales.
-Delegación de autorizaciones.
-Los documentos de seguridad han de estar al día.
-El procedieminto de las incidencias es de vital importancia: hay que registrarlas indicando las caracterísiticas, hora y medidas adoptadas.
-En cuanto a los datos de papel se refiere, tales como papeles encima de la mesa de los empleados … Se deben de generar archivos y explicar cómo se guardan, quién tiene acceso a ellos y cómo. Y que todo quede bien reflejado en el documento de seguridad.
-También debemos se debe de prestar especial atención a los datos confidenciales que se tiran a la basura, curriculums, dnis, etc.
-Ficheros temporales: estos han de eliminarse cuando ya no es necesario aplicar las medidas correspondientes.
-Autorizaciones: ¿Quien se encarga de guardar en un lugar protegido las copias de seguridad y dónde? Por ello, ha de quedar reflejado en el documento de seguridad quién las maneja y los movimientos. Lo mismo pasa con el uso de los usb que quedará reflejada la información que se extrae de ellos en el documento de seguridad.
-Se deben de definir claramente las funciones y obligaciones del pesonal así como formarlo para el correcto cumplimiento de la ley.
-Definir los accesos. Por ejemplo, que un comercial no tenga acceso a los datos de contabilidad.
-Establecer un protocolode atención al ejercicio de los derechos.
-Realización de auditorías y revisiones periódicas.
-Control de acceso físico.
-Nombramiento de responsables de seguridad.
-Ejercer el derecho de acceso en caso de inspección por parte de la Agencia Nacional de Protección de Datos.
-Ha de haber un documento de seguriadad en el cual se defina el staff de la organización (altas y bajas), los accesos y las restricciones.
-En el caso de datos de nivel medio-alto también es necesario llevar un control de ubicación tanto de los datos físicos como del servidor para los datos digitales.
Medidas de tipo técnico:
También dependen del nivel de seguridad; básico, medio o alto.
-Establecer un sistema de identificación de autentificación de los ficheros creados.
-Copias de seguridad: externalizar fuera de las instalaciones una copia de seguridad y su procedimiento en el caso de pérdida para la recuperación de los datos.
-Control de accesos.
-Control de soportes: para datos de nivel alto es necesaria la protección cifrada con contraseñas en la copia externa y para los demás niveles, a pesar de nos ser obligatorio se recomienda hacer lo mismo.
-Registro de accesos y límites de intentos reiterados. En el caso de datos de nivel alto han de dejar rastro de los accesos.
Videovigilancia y protección de datos:
Según la Instrucción 1/2006 de la AEPD;
-Deber de notificación de los ficheros en el caso de grabación de imágenes.
-Cumplimiento de los principios de protección de datos.
-Colocación de letreros amarillos de videovigilancia poniendo en aviso a los empleados; estos carteles se pueden descargar de la web de la Agencia Española de Protección de Datos (al final del artículo tenéis la dirección).
-Implantación de las medidas de seguridad.
-Está prohibido grabar imágenes de la vía pública.
-Las cámaras de vigilancia de las tiendas sólo puede ser usadas o visualizadas por el personal autorizado (ni clientes, ni empleados no autorizados).
-Obligación de implantar un sistema de seguridad así como realizar copias del sistema de autentificación y verificación del acceso.
Medidas especiales: por orden de la policía se podrán instalar cámaras para controlar a los empleados siempre y cuando se les comunique de su existencia.
Redes sociales y protección de datos:
-Las empresas con perfiles en redes sociales son responsables del tratamiento de los datos de las personas de perfiles personales que les sigan. Al tener una finalidad comercial, se les aplica también la LOPD.
-Han de cumplir los principios de de protección de datos.
-En cuanto a la recopilación de datos de nuestros seguidores para realizar campañas de marketing, se debe de tener el consentimiento del seguidor.
-Es recomendable hacer mención en algún hueco del perfil de la empresa que se garantiza la protección de los datos de los seguidores.
-Para la publicación de fotos de terceros en las redes sociales se debe de tener consentimiento expreso así como para la publicación de ponencias.
-En el caso de contratar a un Community Manager para la gestión de las cuentas de empresa, se debe de firmar un contrato para el uso correcto de los datos.
Criterios para contratar un proyecto de adaptación a la ley orgánica de protección de datos:
-Se exige la implicación del cliente.
-El mantenimento en el tiempo.
-Formación y concienciación del personal.
-Visita a la empresa por parte del asesor.
-Asesor con formación cualificada.
-Tener en cuenta que un servicio de consultoría tiene un coste.
–Desconfiar si nos ofrecen un certificado de cumplimiento de la LOPD. Puesto que nadie lo puede dar porque puede haber fallos o lagunas. De hecho, la Agencia Nacional de Protección de Datos no emite ningún tipo de certificado.
Nota: esto es un resumen de una ponencia impartida por Ana Sayas de Navadat. Por ello, os recomiendo que para cualquier consulta o duda a cerca de estos temas, os dirijaís a élla directamente a través de su cuenta de twitter o que contactéis con la empresa:
Ana Sayas on Twitter: https://twitter.com/anasa9
Web Navadat: http://www.navadat.com/
También os dejo la dirección de la web de la Agencia Nacional de Protección de Datos: www.agpd.es/
Imagen destacada: http://www.andalucialab.org/