Embed Size (px)
DESCRIPTION
Aspectos clave en la implementación de la protección de datos personales, según la legislación Española.
Citation preview
www.tusconsultoreslegales.com
Protección de datos personales
Protección de datos personales
www.tusconsultoreslegales.com
PROCEDIMIENTO DE IMPLEMENTACIÓN: CUESTIONES CLAVE Información sin coste
1. CONCEPTO DE PROTECCIÓN DE DATOS PERSONALES
2. ANÁLISIS Y DETECCIÓN DE PROCESOS DE TRATAMIENTO DE DATOS PERSONALES
3. IDENTIFICACIÓN DE RESPONSABILIDADES ENTRE LOS DIFERENTES DEPARTAMENTOS
4. CLASIFICACIÓN DE LOS FICHEROS
5. CREACIÓN DE LA´POLÍTICA INTERNA DE EMPRESA
6. IDENTIFICACIÓN DE LA EXISTENCIA DE TRATAMIENTO DE DATOS PERSONALES POR PARTE DE TERCEROS
7. IDENTIFICACIÓN DE LA NECESIDAD DE CESIÓN DE DATOS ENTRE EMPRESAS
8. DOCUMENTO DE SEGURIDAD, NOTIFICACIÓN Y REGISTROS DE FICHEROS Y CERTIFICACIÓN DE UNA CORRECTA IMPLEMENTACIÓN
DOCUMENTOS PARA LA IMPLEMENTACIÓN DE LA PROTECCIÓN DE DATOS Información de pago
9. DOCUMENTOS DE PROCEDIMIENTO
10. DOCUMENTOS COMPLEMENTARIOS Y DE GOBIERNO IT
11. DOCUMENTOS DE SEGURIDAD Y AUDITORIA
www.tusconsultoreslegales.com
PROTECCIÓN DE DATOS PERSONALES
Información sin coste
www.tusconsultoreslegales.com
1. CONCEPTO DE PROTECCIÓN DE DATOS PERSONALES
Concepto
La protección de datos de carácter personal se encuentra regulada en la Ley Orgánica 15/1999 de 13 de Diciembre, de protección de datos de carácter personal, y en sus disposiciones reglamentarias. Los datos de carácter personal, es cualquier información numérica, alfabética, gráfica, fotográfica acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables
Se clasifican en tres niveles:
BásicoMedioAlto
Realizamos una especial mención, a los datos de carácter personal relacionados con la salud: Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.
www.tusconsultoreslegales.com
2. ANÁLISIS Y DETECCIÓN DE PROCESOS DE TRATAMIENTO DE DATOS PERSONALES
Los datos personales, pueden ser tratados de manera interna o bien ser tratados de manera externalizada:
A. Tratamiento a nivel interno
Ejemplos:
1. Marketing- Envío de información comercial, etc…2. Recursos Humanos- Recepción de Curriculums Vitae, realización de valoraciones psicológicas, etc…3. Calidad- Procesos asociados a datos personales4. Legal- Contratos, deudas, auditorías etc…
B. Tratamiento de datos por terceras empresas
1. Gestorías2. Abogados
Es importante tener en cuenta que el responsable de seguridad, debe proveer de instrucciones claras, a las empresas subcontratadas, en materia de medidas de seguridad.
www.tusconsultoreslegales.com
3. IDENTIFICACIÓN DE RESPONSABILIDADES ENTRE LOS DIFERENTES DEPARTAMENTOS
Es importante que cada departamento, tenga consciencia de su responsabilidad en cuanto a la protección de datos personales:
A. Cada tipología de dato a tratar, implica la aplicación de instrucciones adaptadas a cada departamento de la empresa
Ejemplos:
1. Marketing- ¿Se obtuvo el consentimiento para enviar información comercial?2. Recursos Humanos- ¿Se utiliza la información recibida para solicitar un puesto de trabajo, únicamente en éste ámbito?3. Calidad- ¿Se puede simplificar la información asociada a procesos, para clasificar los datos en nivel básico?4. Legal- ¿Es qué casos es necesario el consentimiento del titular de los datos, en las diferentes acciones a realizar?
B. ¿Qué implicaciones tiene designar una figura responsable por cada departamento?
1. Control de las interacciones con otros departamentos2. Aprobación de procesos para evitar denuncias
Es importante, centralizar la información, de acuerdo con las instrucciones del responsable de sistemas.
www.tusconsultoreslegales.com
4. CLASIFICACIÓN DE LOS FICHEROS
Los datos personales, se protegen a través de las medidas de seguridad oportunas, en función de la calidad de los datos (básico, medio, alto)
Introducir las tres clasificaciones de datos en el mismo fichero, implica dotarles de las medidas de seguridad de nivel alto
Es recomendable, diseñar la clasificación de ficheros siguiendo un criterio de calidad de datos, para dotarles de las medidas delas medidas de seguridad adecuadas
El responsable de sistemas o de seguridad, tiene una función primordial a la hora de efectuar éste diseño
No obstante, el punto crítico, respondería a la necesidad de no hacer identificables las diferentes bases de datos o ficheros que pudieran estar organizados de manera separada
Es importante, saber distinguir cuándo el diseño de sistemas se puede ajustar a éstos criterios o bien, se opta por clasificar los Ficheros en función de su aplicabilidad. Ejemplo: (contactos en sistemas de información interna, valoraciones psicológicas etc..
www.tusconsultoreslegales.com
5. CREACIÓN DE LA POLÍTICA INTERNA DE EMPRESA
Cuando la empresa, quiere asegurarse de que su política de datos personales, es conocida y respetada por todos sus empleados, una herramienta muy eficaz, es introducir varias cláusulas en dicha política, que prevengan de posibles fugas de datos, por citar un ejemplo.
La política de empresa, es un documento interno, que sirve para fijar pautas de comportamiento y evitar comportamientos que supongan un posible despido. Para el departamento de Recursos Humanos es una herramienta muy efectiva, de cara a delimitar posibles infracciones
Para el departamento de sistemas de información, es una herramienta que previene malos usos de los sistemas decomunicación tanto internos como externos.
Para el departamento legal, la política interna de empresa, es útil para prevenir infracciones de propiedad intelectual. Es importante definir la política de empresa, contando con la colaboración de los principales directivos y en su caso, de los
socios de la empresa.
www.tusconsultoreslegales.com
6. IDENTIFICACIÓN DE TRATAMIENTO DE DATOS POR PARTE DE TERCEROS
Es necesario distinguir entre comunicación y cesión de datos
La comunicación de datos, no implica el tratamiento de datos personales, por parte de terceros, pero si su utilización para el desarrollo de funciones concretas. (Desarrollo de un proyecto Web, etc…) La cesión de datos, sin embargo, implica el tratamiento de datos personales, para el desarrollo de servicios, (realización decampañas promocionales por parte de terceros, pago de nóminas por parte de terceros, etc…)
En el supuesto de externalizar servicios a terceros, que implique una comunicación de datos, al finalizar el proyecto, se devuelven los datos o se destruyen, pero éste hecho, debe constar por escrito.
En el supuesto de externalizar servicios, que impliquen un tratamiento de datos, el responsable de seguridad debe tener en cuenta una serie una serie de instrucciones que garanticen la seguridad de los mismos, que a su vez, deberá transmitir.
Es importante firmar los documentos adecuados, a cada situación.
www.tusconsultoreslegales.com
7. IDENTIFICACIÓN DE LE NECESIDAD DE CESIÓN DE DATOS ENTRE EMPRESAS
Existen dos supuestos diferentes, pero que comparten un mismo objetivo:
A. Existe un grupo de empresas, que previsiblemente van a compartir datos
B. Existe una cesión de datos a otra empresa, con la que se establecen relaciones de colaboración empresarial.
En ambos casos, se produce una cesión de datos, pero el ámbito de cesión requiere una manera de organizarse diferente y el responsable de seguridad puede optar por varias alternativas.
Es importante delimitar los supuestos, de cara a firmar los documentos de cesión de datos entre empresas.
www.tusconsultoreslegales.com
8.DOCUMENTO DE SEGURIDAD, NOTIFICACIÓN Y REGISTROS Y CERTIFICACIÓN
En el documento de seguridad se definen las medidas de seguridad oportunas, y se indica el nivel de seguridad (básico, medio, alto) de los ficheros que previamente han sido inscritos en el registro de la Agencia de Protección de Datos o la Autoridad de Control Competente.
Deberá notificarse en el registro de la Agencia de Protección de Datos cualquier modificación que afecte al fichero inscrito en el registro.
Es recomendable, diseñar los sistemas de información siguiendo un criterio que garantice la naturaleza de los datos personales que trate, garantizando la calidad de los datos, la custodia y su disponibilidad.
El responsable del sistema de información o Responsable del servicio de información, debe implicarse en garantizar las medidas de seguridad propuestas, informando al Responsable de Seguridad.
No obstante, el punto crítico, es segregar adecuadamente los sistemas de información según la naturaleza de los datos personales objeto del tratamiento.
Es importante, certificar los sistemas de información si se producen cambios sustanciales que afecte a la seguridad del mismo. De esta forma nos aseguramos que los sistemas de información están debidamente supervisados y el documento de seguridad está vigente y actualizado.
www.tusconsultoreslegales.com
DOCUMENTOS PARA LA GESTIÓN DE LA PROTECCIÓN DE DATOS
Información de pago
www.tusconsultoreslegales.com
9. DOCUMENTOS DE PROCEDIMIENTO
Listado de cuestiones a tener en cuenta en la implementación de la protección de datos
Recomendaciones en la implementación de la protección de datos
www.tusconsultoreslegales.com
10. DOCUMENTOS COMPLEMENTARIOS Y DE GOBIERNO IT
Política interna de empresa
Documento de tratamiento de datos personales, por parte de terceros
www.tusconsultoreslegales.com
11. DOCUMENTOS DE SEGURIDAD Y AUDITORIA
Documento de cesión de datos entre empresas:Bases de datos de clientes y Bases de datos de gestión de datos de empleados
Documento de seguridad y certificado de cumplimiento
www.tusconsultoreslegales.com
Gracias por su interés
[email protected] consultas personalizadas, por favor contactar con:
