Cumplimineto y adaptación de la LOPD por @anasa9 en @FundacionDedalo

Buenos días. Hoy me gustaría dedicar un post a la adaptación y el cumplimineto de la le ley orgánica de protección de datos a través de una estupenda ponencia celebrada en septiembre de 2014 en la Fundación Dédalo.

La ponencia la ha impartido Ana Sayas de la empresa Navadat con dirección Pº de Anelier 9 – 1º C. 31014 Pamplona (Navarra).

Empiezo pues con lo que allí he podido escuchar y del conocimiento que he adquirido:

Los datos pueden ser de diversos tipos:

-De caracter personal.

-Identificados o identificables.

-Registrados en soporte físico o digital.

-Que permitan su tratamiento.

Las obligaciones pueden ser de varios tipos:

-Jurídico.

-Técnico.

-Organizativo.

Tratamiento de de datos jurídicos:

-Notificación de ficheros y registro en la Agencia Nacional de Protección de Datos.

-Obligación de información a los titulares.

-Cumplimiento del principio de calidad.

-Obligación de regualr los accesos por terceros.

-Cumplimiento del principio de cesión de datos.

-Obligación del deber de secreto tanto para datos voluntarios como obligatorios.

-Tratamiento de datos especialmente protegidos.

Tratamiento de datos organizativos:

– Datos de clientes, empleados; grabaciones de teléfono, datos verbales, e mails … así como sus derechos y obligaciones.

-En el caso de catálogos de productos se deben de añadir claúsulas que hagan referencia a estos temas.

-Debemos de plantearnos si estos datos son de verdad necesarios; en caso conatrario, han de ser eliminados. Si son necesarios, sólamente se pueden utilizar para el fin establecido.

-Los datos que están fuera de la relación laboral, precisan de un consentimiento expreso; por ejemplo, una base de datos para ir a una casa rural todos los empleados.

-Cuando ya no son necesarios los datos, se eliminan.

-Las fotografías del empleado en su puesto de trabajo necesitan doble consentimiento: 1º para sacar la foto y 2º para publicarla (web de empresa, revistas, redes sociales, etc).

-En le caso de servicios contratados con empresas externas los datos deben de estar regulados en un contrato. La empresa tiene que guardar confidencialidad de los datos así como la devolución de todos los datos de los ficheros cedidos cuando se extinga la relación.

-La cesión de datos no necesita consentimiento expreso tan sólo en el caso de las administraciones públicas: datos enviados al gobierno autonómico al contratar a una persona …

Tratamiento de casos particulares

-Compra Venta: no es necesario pedir consentimiento expreso de los datos para formalizar el contrato.

-Grabaciones de imágenes por orden de jueces/magistrados: no se necesita consentimiento.

-Deber del secreto: siempre confidencialidad.

-Datos especialmente protegidos: ideología, salud, creencias, afilifación sindical … En estos casos, es obligatorio el consentimiento expreso y a veces, por escrito.

A continuación pasamos a hablar de las medidas a tomar y pueden ser de dos tipos:

-Tipo organizativo.

-Tipo técnico.

Medidas de tipo organizativo:

Son medidas que dependen del nivel de seguridad:

-Nivel básico: nº de c/cte, datos personales, dni …

-Nivel medio: datos de la hacienda pública, mútuas, seguridad social, curriculums, entrevistas … en definitiva los referentes a la personalidad de alguien.

-Nivel alto: salud, ideología, creencias, etc.

Medidas a tomar:

-Elaborar un docuemento de seguridad.

-Establecer un procedieminto de gestión de incidencias.

-Aplicar una política de gestión de soportes.

-Medidas concretas para los documentos de papel.

-Criterios sobre manejo de ficheros temporales.

-Delegación de autorizaciones.

-Los documentos de seguridad han de estar al día.

-El procedieminto de las incidencias es de vital importancia: hay que registrarlas indicando las caracterísiticas, hora y medidas adoptadas.

-En cuanto a los datos de papel se refiere, tales como papeles encima de la mesa de los empleados … Se deben de generar archivos y explicar cómo se guardan, quién tiene acceso a ellos y cómo. Y que todo quede bien reflejado en el documento de seguridad.

-También debemos se debe de prestar especial atención a los datos confidenciales que se tiran a la basura, curriculums, dnis, etc.

-Ficheros temporales: estos han de eliminarse cuando ya no es necesario aplicar las medidas correspondientes.

-Autorizaciones: ¿Quien se encarga de guardar en un lugar protegido las copias de seguridad y dónde? Por ello, ha de quedar reflejado en el documento de seguridad quién las maneja y los movimientos. Lo mismo pasa con el uso de los usb que quedará reflejada la información que se extrae de ellos en el documento de seguridad.

-Se deben de definir claramente las funciones y obligaciones del pesonal así como formarlo para el correcto cumplimiento de la ley.

-Definir los accesos. Por ejemplo, que un comercial no tenga acceso a los datos de contabilidad.

-Establecer un protocolode atención al ejercicio de los derechos.

-Realización de auditorías y revisiones periódicas.

-Control de acceso físico.

-Nombramiento de responsables de seguridad.

-Ejercer el derecho de acceso en caso de inspección por parte de la Agencia Nacional de Protección de Datos.

-Ha de haber un documento de seguriadad en el cual se defina el staff de la organización (altas y bajas), los accesos y las restricciones.

-En el caso de datos de nivel medio-alto también es necesario llevar un control de ubicación tanto de los datos físicos como del servidor para los datos digitales.

Medidas de tipo técnico:

También dependen del nivel de seguridad; básico, medio o alto.

-Establecer un sistema de identificación de autentificación de los ficheros creados.

-Copias de seguridad: externalizar fuera de las instalaciones una copia de seguridad y su procedimiento en el caso de pérdida para la recuperación de los datos.

-Control de accesos.

-Control de soportes: para datos de nivel alto es necesaria la protección cifrada con contraseñas en la copia externa y para los demás niveles, a pesar de nos ser obligatorio se recomienda hacer lo mismo.

-Registro de accesos y límites de intentos reiterados. En el caso de datos de nivel alto han de dejar rastro de los accesos.

Videovigilancia y protección de datos:

Según la Instrucción 1/2006 de la AEPD;

-Deber de notificación de los ficheros en el caso de grabación de imágenes.

-Cumplimiento de los principios de protección de datos.

-Colocación de letreros amarillos de videovigilancia poniendo en aviso a los empleados; estos carteles se pueden descargar de la web de la Agencia Española de Protección de Datos (al final del artículo tenéis la dirección).

-Implantación de las medidas de seguridad.

-Está prohibido grabar imágenes de la vía pública.

-Las cámaras de vigilancia de las tiendas sólo puede ser usadas o visualizadas por el personal autorizado (ni clientes, ni empleados no autorizados).

-Obligación de implantar un sistema de seguridad así como realizar copias del sistema de autentificación y verificación del acceso.

Medidas especiales: por orden de la policía se podrán instalar cámaras para controlar a los empleados siempre y cuando se les comunique de su existencia.

Redes sociales y protección de datos:

-Las empresas con perfiles en redes sociales son responsables del tratamiento de los datos de las personas de perfiles personales que les sigan. Al tener una finalidad comercial, se les aplica también la LOPD.

-Han de cumplir los principios de de protección de datos.

-En cuanto a la recopilación de datos de nuestros seguidores para realizar campañas de marketing, se debe de tener el consentimiento del seguidor.

-Es recomendable hacer mención en algún hueco del perfil de la empresa que se garantiza la protección de los datos de los seguidores.

-Para la publicación de fotos de terceros en las redes sociales se debe de tener consentimiento expreso así como para la publicación de ponencias.

-En el caso de contratar a un Community Manager para la gestión de las cuentas de empresa, se debe de firmar un contrato para el uso correcto de los datos.

Criterios para contratar un proyecto de adaptación a la ley orgánica de protección de datos:

-Se exige la implicación del cliente.

-El mantenimento en el tiempo.

-Formación y concienciación del personal.

-Visita a la empresa por parte del asesor.

-Asesor con formación cualificada.

-Tener en cuenta que un servicio de consultoría tiene un coste.

Desconfiar si nos ofrecen un certificado de cumplimiento de la LOPD. Puesto que nadie lo puede dar porque puede haber fallos o lagunas. De hecho, la Agencia Nacional de Protección de Datos no emite ningún tipo de certificado.

Nota: esto es un resumen de una ponencia impartida por Ana Sayas de Navadat. Por ello, os recomiendo que para cualquier consulta o duda a cerca de estos temas, os dirijaís a élla directamente a través de su cuenta de twitter o que contactéis con la empresa:

Ana Sayas on Twitter: https://twitter.com/anasa9

Web Navadat: http://www.navadat.com/

También os dejo la dirección de la web de la Agencia Nacional de Protección de Datos: www.agpd.es/

Imagen destacada: http://www.andalucialab.org/

Anuncios

2 comments

  1. Podría hablar durante horas de la LOPD de la forma y obligación de su cumplimiento. Personalmente he ayudado a cumplir y adaptar algunas empresas conforme a Ley. He visto como las administraciones son impunes totalmente a esta Ley. Como no podía ser de otra manera siendo que la AGPD es un organismo dependiente del estado. Quién no ha recibido un e-mail sin ningún tipo de aviso o firma añadida declarando los derechos del receptor. Cuántas veces hemos visto en las noticias que se han encontrado expedientes clínicos tirados sin ser destruidos. Porque en la administración que maneja datos que deberían estar especialmente protegidos no lo están. Existe una clasificación según la AGPD de las medidas a tener en cuenta según la sensibilidad de los mismos. Pues bien de entrada se incumple totalmente, difícil es controlar cuando los datos cada vez son más centralizados para agilizar trámites y consultas. Ahora a cualquier persona que este leyendo este comentario y trabaje en administración que me diga si es mentira que no le han inhabilitado ningún soporte de almacenamiento externo como marca la ley. Es decir que no puede grabar Cd’s ni introducir un lápiz USB en su ordenador, ya que según marca la ley, no debería poder. Ahora preguntaros como puede ser que las grandes compañías de telecomunicaciones tengan una impunidad total en el manejo de nuestros datos. Para mi pensar el manejo de los datos está en manos de la moralidad de quien tiene acceso a ellos, hoy por hoy y no en manos de ninguna agencia. Asesores y abogados que adaptan a las PYMES a cumplir la ley muchos y de diferentes precios. Y curioso es que ellos ni la cumplen. Pero bien por algo se empieza. Aunque queda mucho por hacer. Y aquí lo dejo. Bueno voy añadir que en cuanto a la recopilación de datos en Redes Sociales falta mucho por recorrer. Con lo que repito que depende de la moralidad de las empresas que los recopilan y lo que tengo claro es que a menor tamaño mayor moralidad y sensibilidad en el tratamiento de los datos recogidos.

    1. Buenas tardes Jorge. Muchas gracias por tu aportación. Yo no saco ningún beneficio económico de este post. Simplemente es información que pretende generar valor añadido al lector que no conozca la ley y lo que implica. Un saludo y buen fin de semana.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s