domingo, 18 de diciembre de 2011

¿Cómo afecta la LOPD a mi empresa? Resumen

El objetivo principal de la Ley Orgánica de Protección de Datos de Carácter Personal LOPD es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan (empresas, asociaciones, autónomos, administraciones, etc.).


Los ficheros más habituales a los que afecta: Clientes, proveedores, nóminas, videovigilancia, contabilidad, personal, promociones, selección de personal, curriculums, …


Las medidas a adoptar dependerán del nivel de seguridad requerido para los datos que se manejan.


¿Cómo se clasifican esos datos?


¿A qué obliga la LOPD?


1.- Inscribir aquellos ficheros que contengan datos de carácter personal en el registro de la Agencia Española de Protección de Datos.


2.- Implantar las medidas de seguridad adecuadas y elaborar un “Documento de seguridad” que describa y regule el tratamiento de los datos personales.


3.- Regular el movimiento de datos con terceros (Ej. La gestoría con la que trabajamos).


4.- Realizar una auditoría al menos cada dos años (sólo para datos de nivel medio y alto) y tener actualizado el "Documento de seguridad" para todos los niveles.


Medidas de seguridad
 




Infracciones y sanciones



A pesar de que la denuncia no puede ser anónima (hay que dar los datos y el denunciado sabe de dónde ha partido) esta puede tener varios orígenes: la propia Agencia de Protección de Datos, clientes insatisfechos, personal de la propia empresa, la competencia, o cualquier persona física que se considere afectada.



Puedes reducir los riesgos: Cumpliendo los requisitos de la LOPD con el asesoramiento de una empresa externa y formando a los empleados, que trabajen con información de carácter personal, de la importancia que tiene la gestión de esos datos.

jueves, 8 de diciembre de 2011

Se filtra la nueva ley de protección de datos. Se estan elaborando proyectos. "Ahora es el momento de aportar ideas".


De momento solo son proyectos, ahora es el momento de aportar ideas, quejas y nuevas espectativas para  tengamos una adecuada Ley de Protección de Datos.

Serán dos proyectos de instrumento legal elaborados por la Comisión Europea. Antes de que se aprueben, podrán ser comentados y modificados en un proceso legislativo de la UE que puede llevar meses a un máximo de dos o tres años para que se convierta en ley.

Estos dos proyectos de regulación serían aplicables a los 27 estados miembros y significan la primera gran respuesta a la ley que se aplica en Estados Unidos, un campo de duras medidas contra cualquier empresa que trabaje en Europa y tenga sede en Estados Unidos (o cualquier otro país fuera de Europa) enfrentándose a duras repercusiones financieras si rompen la nueva legislación.

De entre las propuestas se destaca:
  • Habrá total armonización entre todas las leyes de protección de datos en el futuro.
  • La regulación obligará a las empresas con operaciones en los estados miembros a la jurisdicción del sistema legal de los estados incluyendo sus leyes de protección de datos.
  • Empresas como Microsoft o Google, procesadoras de datos, que almacenan y gestionan datos a través de sus servicios en la nube, estarán bajo las mismas obligaciones que el resto de empresas.
  • Las compañías fuera de Europa (como Estados Unidos) seguirán estando sujetas a la legislación europea si tienen oficinas con sede en Europa o clientes europeos.
  • Se requerirá consentimiento expreso de los titulares ante cualquier tratamiento de datos de marketing.
  • El conocido como “derecho al olvido” será sancionado en Bruselas, una medida que permitirá a los usuarios eliminar sus datos privados de las empresas.
  • Si una empresa sufre una pérdida de datos o violación de los mismos, tanto la autoridad de protección de datos como los individuos deberán ser informados en 24 horas desde el descubrimiento.
  • Todas las empresas públicas o de más de 250 empleados deberán tener agentes de protección de datos internos.
Noticia

martes, 6 de diciembre de 2011

Sí, hay SANCIONES por el incumpliento de la LOPD y sus medidas de seguridad obligatorias.


La AGPD sanciona con 6000€ a un Centro Médico de Cartagena

Un centro médico es sancionado con 6000€ por hacer uso de los datos personales de un cliente de la empresa con la que se había fusionado.
El denunciante declara que ha recibido en su domicilio un escrito de un centro médico en el que se le informa de que su carnet de conducir está próximo a caducar y se le ofrecen sus servicios para gestionar la renovación del mismo. Manifiesta que no ha mantenido relación ninguna con la empresa denunciada y que desconoce cómo han obtenido sus datos personales y la fecha de caducidad de su permiso de conducir.

VER MÁS

La empresa Fundosa, sancionada con 6.000€ por difundir datos de clientes de Servicios

La Agencia de Protección de Datos sancionó en 2010 a 14 empresas en Sevilla y apercibió a tres administraciones públicas en la provincia por infringir la Ley de Protección de Datos al permitir que datos privados fueran difundidos sin consentimiento, ya fuera a través de internet o de cartas enviadas por error, entre otros medios..  
VER MÁS




Protección de Datos expedienta a la cofradía coruñesa de Cabo da Cruz.

La Agencia Estatal de Protección de Datos inició un procedimiento sancionador contra la Cofradía de Pescadores de Cabo de Cruz, en Boiro (A Coruña), por publicar en el tablón de anuncios de la lonja -de acceso público- un escrito con datos personales de las personas firmantes.
 VER MÁS


Lidl sancionada con 6.000€ por tener monitores de videovigilancia visibles.

La cadena de supermercados Lidl ha sido sancionada con 6000€  porque uno de los monitores de videovigilancia era visible por los propios clientes, lo que supone, a juicio de la Agencia Española de Protección de Datos, una vulneración de la Ley Orgánica de Protección de Datos..
VER MÁS


Otros ejemplos de sanciones

Sanción a un abogado por falta de documento de seguridad.
Denuncia: Tuvo entrada en la AGPD un escrito de D. G.G.G. en el que denuncia que el abogado D. I.I.I. (en lo sucesivo el denunciado) posee en su despacho profesional un fichero automatizado que no ha ...

Cámara de centro comercial enfocando vía pública.
Hechos: Con fecha de 3 de noviembre de 2009, tuvo entrada en la AEPD un escrito de Don A.A.A. en el que denuncia que un Centro Comercial dispone de un sistema de videovigil...


No hay obligación de consultar lista Robinson si la publicidad se dirige al cliente.
Hecho: La causa tuvo como origen la denuncia realizada por un cliente al recibir en su teléfono móvil mensajes de texto con avisos publicitarios de nuevas ofertas de productos de la empresa. En virtud...


Falta inscripción ficheros por comunidad de propietarios.
Hechos: Con fecha de 20 de noviembre de 2008 tuvo entrada en la Agencia Española de Protección de Datos un escrito de Don A.A.A. en el que denunciaba que la Comunidad de Propietarios Piscina Urbanizaci...


Sanción a Digital Distribution Management, S.L. y Lotosystems Network, S.L.
Nombre de las entidades sancionadas: Digital Distribution Management, S.L. y Lotosystems Network, S.L.
Hechos: Se presenta una denuncia contra DIGITAL DISTRUTIOn MANAGEMENT, S.L. por co...


Sanción por no poseer el consentimiento inequívoco del afectado.
Nombre de la entidad sancionada: Data Integral Action, S.L. y Grupo TV Relax Canarias, S.L. Hechos: La entidad Data Integral, cuya actividad consiste en prestar servicios de manipulación...


Sanción a Euro Hogar 94, S.L.
Nombre de la entidad sancionada: Euro Hogar 94, S.L. Hechos: La Policía Municipal de Valladolid presenta un escrito a la AEPD en la que remiten una caja conteniendo un acta policial as&i...


Sanción por recebar el consentimiento de los afectados.
Nombre de la entidad sancionada: ASOCIACIÓN INDEPENDIENTE DE LA GUARDIA CIVIL
Hechos: La revista ASOCIACIÓN INDEPENDIENTE DE LA GUARDIA CIVIL ha sido denunciada por dos empleados de d...


Sanción a REY TEX IMPORTACIONES, S.L.
Nombre de la entidad sancionada: REY TEX IMPORTACIONES, S.L
Hechos: El denunciante recibió un correo electrónico de contenido publicitario sin que la entidad denunciada facilitara la ...


Sanción al Centro Clínico La Chopera por vulneración del principio de consentimiento,
Nombre de la entidad sancionada: CENTRO CLÍNICO LA CHOPERA
Hechos: El denunciante tras la formalización de varios créditos hipotecarios con la entidad financiera LA CAIXA y la ...


Sanciones a ARVATO, COFIDIS Y REDCATS.
Nombre de la entidad sancionadora: ARVATO, COFIDIS Y REDCATS
Hechos: Tras recibir la denunciante publicidad en su domicilio a través de correo postal de la entidad COFIDIS, ésta decid...


Sanción por no recabar el consentimiento previo del afectado.
Nombre de la entidades sancionada:
ALTERNATIVA SINDICAL DE LOS TRABAJADORES DE BANCA Y EMPRESAS AUXILIARES
Hechos: Se presenta denuncia ante la Agencia tras comprobar un delegado del sindicato que ..

VER MÁS

sábado, 3 de diciembre de 2011

10 Claves para evitar sanciones en Protección de Datos (LOPD)

1. ¿Qué se considera dato de carácter personal?

Toda información relativa a la persona física es un dato personal, esto incluye, nombre, apellidos, dirección física o electrónica, teléfono, CV, imágenes, grabaciones de audio, video, etc.

2. ¿Tiene que solicitar datos de carácter personal a alguien?

Recuerde que uno de los principios básicos de la LOPD es informar sobre el uso, finalidad y derechos en la recogida de estos, así que antes de solicitar datos, asegúrese de cumplir con dichas obligaciones.

3. ¿Desea enviar un correo electrónico a varios destinatarios?
                  
Siempre que realice envíos a diferentes destinatarios, es imprescindible que la dirección de correo electrónico de estos se inserte como CCO (Copia Oculta), ya que los destinatarios no deben poder visualizar la dirección de correo electrónico de ningún otro.

4. ¿Le han solicitado datos de carácter personal de clientes, proveedores o trabajadores?

Para poder ceder datos de carácter personal a cualquiera que se los solicite, es imprescindible obtener el consentimiento del interesado, es decir, del propietario de estos. Así que recuerde, antes de ceder datos, asegúrese de que ha cumple con los preceptos legales.

5. ¿ Va a realizar un envío publicitario a sus clientes?

Si se realiza por correo electrónico tenga en cuenta que las direcciones se insertarán en CCO (Copia Oculta) y en todos los casos debemos dar la opción al cliente de oponerse a futuros envíos comerciales añadiendo una cláusula informativa que cumpla con las obligaciones de la LOPD

6. ¿Ha decidido instalar cámaras de video-vigilancia?
                          
Tenga en cuenta, que tanto la imagen como la voz se consideran datos de carácter personal, así que será necesario tanto inscribir el fichero VIDEOVIGILANCIA en la AEPD como colocar en las zonas donde se instalen las cámaras de seguridad carteles informativos.

7. ¿Ha contratado alguna empresa que preste un servicio que conlleve tratamiento de información de su entidad (Ejemplo: asesoría fiscal o laboral, empresa de PRL, etc.)?

Si ha decidido contratar un servicio en el cual se acceda a información de su entidad, es importante firmar un contrato con el prestador del servicio que regule el tratamiento de datos por parte de éste.

8. ¿Algún cliente, trabajador o proveedor le ha solicitado el borrado de sus datos o una modificación de estos?

Recuerde que cualquier persona puede ejercer una serie de derechos (acceso, rectificación, cancelación y oposición) sobre sus datos. Si se da este caso en su entidad debe dar respuesta al solicitante antes de 10 días, ya que es un requisito legal.

9. ¿Le han comunicado que no desean recibir futuros envíos comerciales?

Aunque hayan dado su consentimiento para que le enviemos publicidad, este consentimiento puede ser revocado en cualquier momento. Por esto, es importante que ante esta situación, se le comunique al cliente que no se le enviará más publicidad, lo que implica que deberemos eliminarlo de la lista de clientes con autorización para realizar envíos comerciales. Recuerde que el plazo legal de respuesta ante un ejercicio de derecho de oposición, como es este caso, es de 10 días.

10. ¿Destruye la documentación que desea tirar de modo seguro?

Recuerde que en ningún caso podrá tirar la documentación al contenedor ni a la papelera sin que haya sido previamente destruida de modo que impida el acceso a la información contenida en la misma, para ello se tendrán que utilizar trituradoras de papel o empresas especializadas en destrucción confidencial de documentos.

En ocasiones, no tenemos en cuenta las consecuencias de acciones habituales que conllevan tratamiento de datos personales, y que estas pueden desencadenar en sanciones importantes para la entidad. Los ejemplos que aparecen anteriormente son una pequeña muestra de los tipos de tratamiento que pueden recibir los datos de carácter personal, así que recuerde, antes de realizar cualquier gestión que conlleve el tratamiento de datos de carácter personal consulte con un profesional.