ENCARGADOS DE LOS FICHEROS
ADAPTACION EMPRESA L.O.P.D.
RESPONSABLE DEL FICHERO
(Es la EMPRESA, AUTÓNOMO u ORGANISMO PÚBLICO).
GESTORES DE
FICHEROS
CONCRETOS:
Es una figura para empresas grandes que tienen ordenadores separados de la red con bases de datos que sólo manejan estos Gestores concretos, se da poco. Deben firmar contrato.
ENCARGADOS DEL TRATAMIENTO:
El responsable del fichero puede encargar a un tercero el tratamiento de los datos, puede ser de forma renumerada o no.
CON ACCESO A DATOS CON TRATAMIENTO
ART.12.
Servicios recibidos: Asesorías, Mensajerías, Mantenimiento Informático, Empresas ISO, Prevención Riesgos, Inspecciones de Salud, Empresas de Vigilancia, etc. De relación continua. Deben firmar contrato Art. 12.Servicios prestados: Estas empresas a la vez prestan servicio a sus clientes. Deben firmar contrato Art. 12.
CON ACCESO A DATOS SIN TRATAMIENTO
ART.83.
El servicio de Mantenimiento Limpieza, Instalaciones, Vigilancia, cualquier persona con acceso de forma periódica sea renumerada o no. Todos estos deben firmar el contrato Art. 83, para ser conscientes, por si ocurre algún incidente sobre los datos personales en su presencia, deben conocer su importancia y adoptar las medidas de seguridad correspondientes.USUARIOS DE ATENCION:
Atienden directamente al cliente.
USUARIOS NORMALES:
Todos los empleados que tienen accesos autorizados a utilizar las bases de datos personales. Deben firmar contrato de confidencialidad.
USUARIOS EXTERNOS:
Usuarios que no pertenecen a la organización, pero pueden acceder a algún recurso (servidor, copias de seguridad, cierto fichero). Informáticos, Recursos Humanos, realizan la labor dentro de la empresa del cliente. Deben firmar contrato de confidencialidad.
NIVELES FICHEROS
•
BASICO:
Datos personales que no identifican (Nombre, dirección, mail, tel, Cta. ccc).•
MEDIO:
Datos personales de carácter financiero, económico, Administraciones Tributarias y Penales, Currículum.
•
ALTO:
Datos personales reservados, salud, sexo, religión, creencias, violencia de género, etc.
Ley Orgánica 15/99 de 13/12/1999 y REGLAMENTO R.D. 1720/2007 de 21/12/2007
EMPRESAS QUE PRESTAN SERVICIOS – CESION DE DATOS
Son empresas a las que se les ceden los datos personales y estas a su vez establecen un vínculo totalmente independiente con los afectados cedidos de manera permanente: SS – HACIENDA – TODO TIPO E ORGANISMOS OFICIALES – COMPAÑIAS DE SEGUROS – VIGILANCIA SALUD – PREVENCION RIESGOS LABORALES - EMPRESAS QUE PRESTAN SERVICIOS, ETC.
Aquí también se incluyen los BANCOS, que en realidad debían de ser Encargados del Tratamiento, pero el legislador por su complejidad ha decidido
RESPONSABLE DE SEGURIDAD:
En el Documento de Seguridad deberán designarse uno o varios responsables de seguridad, encargados de coordinar y controlar las medidas definidas en el mismo. En ningún caso esta designación supone exoneración de la responsabilidad del Responsable del Fichero o el Encargado del Tratamiento de acuerdo con el Reglamento Ley 15/99 Artículo 95 RDLOPD. Es el Gerente de la empresa o puede delegar al Jefe de Administración, Administrativ@ más antigu@, Informático, etc. Deben firmar contrato de confidencialidad.TRABAJOS A REALIZAR
ADECUACION – FORMACION - MANTENIMIENTO
1.- INSCRIPCION FICHEROS AEPD Y ACTUALIZACIONES CONTÍNUAS.
2.- ELABORAR DOCUMENTO DE SEGURIDAD: VIVO (ACTUALIZACION CADA 30 DIAS).
3.- REALIZAR AUDITORIA NIVELES MEDIO/ALTO CADA 2 AÑOS.
4.- ESTABLECER LAS MEDIDAS DE SEGURIDAD INFORMATICAS ART. 89 a 114 R.D. 5.- POLITICA DE PRIVACIDAD INFORMATICA Y OBLIGACIONES CONTRACTUALES.
1.-
INSCRIPCION FICHEROS AEPD Y ACTUALIZACIONES CONTÍNUAS
Inscripción:
Todo fichero con datos de carácter personal, automatizados o no automatizados (soporte papel) ya sean gestionados por entidades privadas o públicas, deberán estar inscritos en el Registro General de Protección de Datos, así como cualquier modificación de los mismos o su cancelación, mediante el Formulario NOTA. (AEPD).Transferencias Internacionales:
En el caso de que existan transferencias internacionales de datos se deberán tramitar los mismos de acuerdo con lo establecido por la L.O.P.D. Se permitirá la realización de transferencias internacionales de datos cuando se garantice un nivel adecuado de protección del país tercero. Salvo excepciones reflejadas en la Ley.
Tipos de Ficheros:
NIVELES:
………. BASICO - MEDIO - ALTO
CLASIFICACION: ………..
JURIDICOS:
Son
los ficheros que se declaran a la AEPD.
FISICOS:
Son los ficheros reales que utiliza la empresa y que se anexan a los jurídicos.
POR SU FORMATO: …...
MIXTOS
-
AUTOMATIZADOS - NO AUTOMATIZADOS
(Soporte papel).*Se pueden organizar inicialmente por Departamentos y realizar el Organigrama de la Administración, para determinar los Perfiles de Usuarios.
*Ficheros Jurídicos declarados AEPD más comunes: CLIENTES – CONTABILIDAD – PROVEEDORES – PERSONAL – AGENDA – PREV. RIESGOS.
*Un solo currículum que la empresa archive, deberá declarar este archivo como Nivel Medio y adoptar las correspondientes medidas de Seguridad.
2.-
ELABORAR DOCUMENTO DE SEGURIDAD: VIVO
(ACTUALIZACION CADA 30 DIAS)Documento de seguridad:
El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados o no automatizados de carácter personal y a los sistemas informáticos y de información. (Documento de Seguridad).Este debe incluir: Ámbito de aplicación. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad. Funciones y Obligaciones del personal. Estructura de los ficheros y descripción de los sistemas que los tratan. Procedimiento de notificación, gestión y respuesta ante incidencias. Los procedimientos de realización de copias de respaldo y de recuperación de los datos. Auditorias en su caso Niveles Medio y Alto.
*El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
3.-
REALIZAR AUDITORIA MEDIO/ALTO CADA 2 AÑOS
Estarán reflejadas en el Documento de Seguridad.
PROCESOS DE TRABAJOS A REALIZAR
ADECUACION
4.-
ESTABLECER LAS MEDIDAS DE SEGURIDAD INFORMATICAS.
(PRACTICA QUE CUMPLE LOPD).Medidas de seguridad informáticas:
Contempladas en el R.D. 1720/2007 de 21 de diciembre Art. 89 al 114 de la Ley 15/99.El presente Reglamento tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados y no automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal sujetos al régimen de la L.O.P.D. Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos.
Accesos autorizados – Identificación – Autenticación – Control de acceso – Contraseñas – Ficheros temporales - Privacidad de las Bases de Datos – Cifrado y descifrado de las Bases de Datos – Zonas de seguridad - Incidencias – Copias de Respaldo. Las aplicaciones de estas medidas la mayoría se encuentran dentro de los sistemas operativos Windows 98, 2000 Pro, 2000 Server, Windows NT y Windows XP. (Hay que activarlas sino lo están) y en las propias aplicaciones de los programas que usa habitualmente la empresa (Hay que activarlas sino lo están):
Principio de finalidad y calidad de los datos - Principio de información en la recogida de datos
Principio del consentimiento del afectado
Principio de seguridad especial (Datos especialmente protegidos)
Principio de Seguridad de los datos - Principio del deber de secreto
Principio de Comunicación de datos
*Si se dispone de página Web se debe informar de forma legible todos estos derechos antes de introducir los datos del interesado.
*Nadie podrá ser obligado a declarar sobre su ideología, orientación sexual, religión o creencias. Sólo podrán ser recabados, tratados y cedidos por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
*Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación.
*Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas.
*Se establecerán las medidas de índole técnicas y organizativas para garantizar la seguridad que deben reunir los ficheros automatizados y no automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos.
*El responsable del fichero y quienes intervengan en los tratamientos están obligados al secreto profesional de dichos datos tratados.
*Se debe informar a la hora de recoger datos el derecho que tiene el afectado de acceso, modificación y cancelación de los mismos y la utilización a los que van a estar dirigidos y no utilizarlos posteriormente para otra finalidad.
*La cesión de datos deberá ser realizada con el consentimiento del interesado con carácter previo a su difusión o tratamiento.
Custodia de la documentación en papel:
Se deben tomar las medidas necesarias para la salvaguarda y seguridad de toda la documentación con datos de carácter personal que se encuentren en las dependencias.Salida de soportes con datos personales:
Se establecerán las medidas correspondientes de seguridad y los registros de salida para todo tipo de soportes tanto informáticos como en papel que salgan de las dependencias, con objeto de identificar las incidencias que puedan ocurrir, adoptar las medidas necesarias para su recuperación y poner de manifiesto las responsabilidades correspondientes de acuerdo con el Reglamento de la Ley 15/99.Papelería a adaptar en la empresa para cumplimiento de la L.O.P.D.:
1.- Contratos de servicios de cesión de datos a terceros. 2.- Contratos de Encargados del Fichero de Datos Personales.
3.- Contratos de Incorporación de datos actuales al Fichero. (Para clientes y proveedores actuales). 4.- Cartel vídeo vigilancia cumplimiento LOPD.
5.- Cláusula informativa vídeo vigilancia.
6.- Acuerdo de confidencialidad del Encargado de los Ficheros. 7.- Cláusula e-mail – fax – factura – Web – Mensaje Centralita. 8.- Modelo denuncia ante la AEPD.
9.- Modelo solicitud derecho de acceso. 10.- Modelo ejercicio del derecho de cancelación. 11.- Modelo ejercicio del derecho de rectificación. 12.- Modelo ejercicio del derecho de oposición.
MÁS INFORMACIÓN:
www.todoeninternet.es
http://legislacionyrecursoslopd.blogspot.com
DEMOS PROGRAMAS GESDATOS:
http://www.gesdatos.com/demo/extensas/demostraciones.htm
PRINCIPALES CLIENTES AUDEDATOS/GESDATOS COMUNIDAD VALENCIANA:
http://manueljoares.googlepages.com/2.-clientesAUDEDATOS.pdf
Denuncias ante la Agencia Española de Protección de Datos:
Si se encuentra Vd. con pruebas que demuestren el incumplimiento de la Ley Orgánica 15/99 de Protección de Datos de Carácter Personal, puede ponerlo en conocimiento de la Agencia Española de
PLAN DE TRABAJO
Acciones a realizar para el cumplimiento de la normativa sobre medidas de seguridad de los ficheros automatizados y no automatizados que contengan datos de carácter personal conforme al Real Decreto 1720/2007 de 21 de diciembre 2007 que desarrolla la Ley Orgánica 15/99 de 13 de diciembre:
1. Análisis y toma de datos
para la notificación de los ficheros que contengan datos de carácter personal ante la A.E.P.D. Se procederá a la carga de los datos precisos para poder realizar las labores administrativas y jurídicas que exige la Ley. (Es aconsejable disponga en ese momento el Responsable de Seguridad LOPD de las copias de la Documentación Oficial de la Empresa para un cotejo exacto al insertarlos en el Programa GESDATOS LOPD). Se firmarán los contratos de prestación de servicios por parte de Todoeninternet.es y la documentación necesaria de Convenio y fichas de empresa y personal para acogerse a la Bonificación de Formación del Fondo Social Europeo – Fundación Tripartita.2.
Visita presencial dentro de los 15 días
siguientes a la Presentación y Toma de Datos Inicial. Se realizará una nueva visita presencial en la que se volcará toda la información recogida en la aplicación informática GESDATOS.2.1.-
Entrega
al cliente número provisional de registro de los Ficheros Inscritos en la AEPD.2.2.-
Entrega de todas las coletillas de adaptación de la papelería
a la L.O.P.D., mail, facturas, documentos varios de información y derechos, mensaje Centralita, Contratos de Cesión de Datos a Terceros Art. 12 y 83, etc.2.3.-
Entrega de los manuales de Formación personalizados.
2.4.-
Entrega de clave acceso web L.O.P.D. personalizada de la empresa:
Desde donde podrá gestionar las IncidenciasL.O.P.D., Tareas pendientes, atender los Derechos que sean solicitados, gestionar los soportes de entrada y salida de documentación protegida, Visualizar toda la información de la Organización de la empresa, acceder al Documento de Seguridad y disponer de 5 megas de archivo propio De todo el material administrativo necesario para la gestión en la Protección de Datos Personales.
3.- En un plazo de entre 15 a 30 días entrega Final a la Empresa:
Documentos Originales numerados y Registrados definitivos del Registro de los Ficheros en la AEPD, entrega del Documento de Seguridad personalizado, revisión de los trabajos realizados y puntualizaciones de la Formación de los Usuarios.4.- El Responsable de los Ficheros remitirá a la Consultora Todoeninternet.es:
Relación de modificaciones ocurridas en la Empresa si ha habido algún cambio en los diferentes apartados del Documentos de Seguridad, al objeto de proceder a las modificaciones pertinentes en la Aplicación Documento de Seguridad GESDATOS. La Consultora depositará el Documento de Seguridad Completo y actualizado en el Disco Duro RECUROS de la web personal del Cliente para constancia y custodia del Responsable de los Ficheros de la Empresa.
MODIFICACIONES a COMUNICAR a la Consultora Todoeninternet.es:
soportetodoeninternet@gmail.com
Cambios del nombramiento de Responsable de Seguridad. - Cambios de Usuarios. Cambios de aplicaciones y Sistemas Operativos del Sistema de Seguridad Informática. Cambios de nombramientos Encargados de los Ficheros, Asesorías, Empresas Servicios.
Cambios de Ficheros Oficiales AEPD tanto automatizados como no automatizados. Cambios de Ficheros Físicos Anexados a los Ficheros declarados AEPD. - Cambios de Sedes de la Empresa. Cambios de número de Servidores, Ordenadores, portátiles, Pdas, etc. Empresa.
Cambios de soportes de almacenamiento de los Ficheros Protegidos. - Cambios en los procedimientos de Copias de Seguridad. Incidencias ocurridas en los derechos de los interesados de comunicación, modificación, oposición, cancelación de datos de Carácter Personal.
SECCION FORMACION L.O.P.D
- CURSOS GRATUITOS ON-LINE:
CURSOS BONIFICADOS:
Bonifíquese 84€ por empleado o directivo que cotice RGSS. Formación Bonificada
LOPD descontándoselo Vd. mismo del total a pagar SS en los TC1. del mes siguiente de la finalización del Curso de 6
horas presénciales en las que se formará a su personal en materia LOPD. Nos encargamos de toda la tramitación ante
la -
Fundación Tripartita
–
Fondo Social Europeo.
Desde nuestra Web:
http://legislacionyrecursoslopd.blogspot.com
MANUALES PERSONALIZADOS A ENTREGAR CON LA CONTRATACION DEL SERVICIO:
MANUAL CURSO Y RESUMEN PRACTICO DE PROTECCIÓN DE DATOS - RESPONSABLE SEGURIDAD
“ “ “ “ “ -GESTORES DE FICHEROS CONCRETOS “ “ “ “ “ - USUARIOS DE ATENCION
“ “ “ “ “ - USUARIOS