LOPD Y RGPD

CONSULTORÍA ASOCIADA A LA ASOCIACION PROFESIONAL DE CONSULTORES DE PROTECCION DE DATOS

¿QUÉ ES LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS?

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar.

Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.

DESARROLLO NORMATIVO:

El Real Decreto 994/1999 de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal de 11 de junio de 1999 (RMS) : Es un reglamento que desarrolla la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), regula las medidas técnicas y organizativas que deben aplicarse a los sistemas de información en los cuales se traten datos de carácter personal de forma automatizada.(Derogado desde 19 de abril de 2010).

El Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos. Se trata de un desarrollo de la Ley Orgánica 15/99 de  Protección de Datos de 13 de diciembre; desarrolla tanto los principios de la ley, como las medidas de seguridad a aplicar en los sistemas de información. Se aplica tanto a ficheros en soporte automatizado, como en cualquier otro tipo de soportes.

¿PORQUÉ ES OBLIGATORIO CUMPLIR CON LA LEY DE PROTECCIÓN DE DATOS?

La LOPD afecta tanto a personas jurídicas (empresas, asociaciones, fundaciones, etc.) como a personas físicas (particulares o autónomos) y a las Administraciones Públicas.

La Ley de Protección de Datos es de obligado cumplimiento para todas las personas físicas o jurídicas que posean datos de carácter personal de personas físicas, ya sea de clientes, usuarios o visitantes, empleados, proveedores, etc. ya sea en soporte informático o en papel. Por lo tanto, incluso los particulares que no ejerzan actividades económicas podrían verse obligados a cumplir la ley.

SANCIONES:

El órgano de control del cumplimiento de la normativa de protección de datos dentro del territorio español, con carácter general es la Agencia Española de Protección de Datos
(AEPD), existiendo otras Agencias de Protección de Datos de carácter autonómico, en las Comunidades Autonómicas de Madrid, Cataluña y en el País Vasco.

Las sanciones tienen una elevada cuantía, siendo España el país de la Unión Europea que tiene las sanciones más altas en materia de protección de datos. Dichas sanciones dependen de la infracción cometida.

Se dividen en:

  • Las sanciones leves van desde 900,00 a 40.000,00 €
  • Las sanciones graves van desde 40.001,00 a 300.000,00 €
  • Las sanciones muy graves van desde 300.001,00 a 600.000,00 €

Pese al elevado importe de las sanciones, existen muchas empresas en España que todavía no se han adecuado a la misma, o lo han hecho de forma parcial o no revisan de forma periódica su adecuación; por lo que resulta esencial el mantenimiento y revisión de la adecuación realizada.

 ¿CÓMO PODEMOS AYUDARLE?

En nuestra gestión, se incluiría y en este orden:

1- Se realiza una primera visita en donde:

  • Determinar el nivel de seguridad al que corresponden los datos de dicha empresa.
  • Fijar la persona responsable de dichos datos en la empresa. Esta persona deberá responsabilizarse del registro de entradas y salidas de datos en un documento cuyo formato fija la agencia y aparecerá como tal ante la agencia.
  • Análisis del hardware. Comprobación física de las medidas de seguridad del hardware que contiene los datos (habitáculo con acceso restringido, acceso al servidor en mueble protegido por llave etc….)
  • Análisis del software: Software en la empresa con acceso a los datos. Nivel de seguridad implementado (qué personas tienen acceso y a qué datos) tanto a nivel se sistema operativo como de aplicaciones.
  • Análisis del almacenamiento: Lugar, tipo y características del almacenamiento. Comprobación de la existencia de un segundo almacenamiento (atrasup)
  • Comprobar la situación actual de la empresa con respecto a la Agencia de protección de datos, es decir comprobar si ya tienen un primer registro en ella y en ese caso comprobar el estado y situación.
  • Definición de los ficheros que serán inscritos en la Agencia Española de Protección de datos.

2- Posteriormente realizamos:

  • Definición y Notificación de los ficheros en la Agencia Española de Protección de datos.

¿Qué es un fichero?
“Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso” (Articulo 3b de la Ley Orgánica 15/1999 de Protección de Datos de Carácter personal y articulo 5.1.k del Real Decreto 1720/2007).

  • Realización del documento de Seguridad.

¿Qué es el Documento de Seguridad?
El Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento,locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.
Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

  • Redacción de clausulas legales que correspondan a la empresa.

¿Qué son las clausulas legales?
Son cada una de las disposiciones de un contrato, en donde se determine la relación de la empresa con terceros en relación a la protección de datos.

  • Informe de recomendaciones que tendrá que aplicar la empresa para su correcta adecuación.

3- Finalmente:

  • Se realiza una segunda visita en la que se entrega la documentación y se da las oportunas explicaciones que puedan surgir.
  • Se define y programa la formación necesaria para una correcta adecuación.

FORMACIÓN:

Esta formación va dirigida a:

  • Responsable de ficheros.
  • Usuario de ficheros.
  • Usuario de ficheros con atención al público.

La formación tiene una duración 8h a 60h más o menos con las modalidad Online.

Esta formación puede ser bonificada, siempre y cuando esté dirigida a trabajadores por cuenta ajena y la empresa tenga crédito suficiente para la formación.

MANTENIMIENTO:

Debido a que el Documento de Seguridad es un documento vivo que refleja los cambios y posibles eventos que se puedan producir en una empresa, es recomendable la contratación de un mantenimiento, este mantenimiento recoge:

  • Modificaciones de tratamientos de datos si fuera necesario 
  • Modificaciones en el Plan de Seguridad.
  • Asesoramiento Técnico.
  • Formación a nuevas incorporaciones.